origen de mis problemas (ESTE ES SOFTWARE LEGAL)

[Stiggzab]

ya me conoceis,stiggzab,vuelvo a postear ante mi caso,que tengo virus y soporte no original,pero vuelvo,porque creo que un ordenador que se ha comprado un miembro de mi familia(7 meses) esta conectado en red a este,y creo que se ha cogido de ahi (ES SOPORTE LEGAL).ayer se me ocurre probar el hijack y el elistara y encontre cosas reveladoras:



del Hijack: [b]for some reason your system denied write access to the Host File.if any hijacked domains are in this file, HijackThis may not be able to fix this.If that happens, you need to edit the file yourself.To do this, click start,run and type:

notepad ''C:/WINDOWS/SYSTEM32/DRIVERS/ETC/HOSTS and press enter.Find the line(s) Hijack reports and delete them.Save the file as hosts (with quotes),and reboot

[/b]



y luego:



[b]an unexpected error has occurred at procedure modMain_Checkother1item()

Error #75 - error de ruta a acceso o archivo



log:



Logfile of HijackThis v1.99.1

Scan saved at 16:33:00, on 12/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

C:\Program Files\Synaptics\SynTP\Toshiba.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\TOSHIBA\Tvs\TvsTray.exe

C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\WIDCOMM\Software Bluetooth\BTTray.exe

C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Invitao\Desktop\Kal El\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Program Files\Video ActiveX Object\iesplugin.dll (file missing)

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe

O4 - HKLM\..\Run: [TPSMain] TPSMain.exe

O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe

O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe

O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe

O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE

O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NodLogin] C:\Program Files\Eset\nodlogin.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Zone Labs Security.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Program Files\MSN Toolbar Suite\es-es\msntabres.dll.mui/229?343ce762bf9142b9b5c115bce8e6846

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Program Files\MSN Toolbar Suite\es-es\msntabres.dll.mui/230?343ce762bf9142b9b5c115bce8e6846

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163420434011

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



de lo que creo que veo: dos residuos BHO

las 08 y 09 no se que son

y un claro, el 020 y el 021,y algunas 023 raras



del Elistara: ayer lo pase y me dieron tres Spy Realtek.no lo hice a safe mode porque no me dejaba copiar el archivo a c: para hacerlo (tengo cuenta de invitado sin privilegios)....

y en muchisimas ocasiones me salia el mensaje de error:

acceso denegado a:

y me salia siempre el directorio y al final un parentesis y un numero (16) (21)...

el archivo es: [b]ALCMTR.EXE[/b] y hay tres de ellos

no se si tengo todas las actualizaciones instaladas pero voy a chequearlo ya



un saludo[/b]

[msc hotline sat]

Pues sin permisos de Adminsitrador poco podrá hacer, claro ...



Arranque en modo seguro, como Administrador y lance el ELISTARA Y DEJELE HACER...



COMPRUEBE AL FINAL QUE HAYA ELIMINADO ESTAS DOS CLAVES:





O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Program Files\Video ActiveX Object\iesplugin.dll (file missing)



O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE





SINO, LO HACE VD:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 12-06-2007

[Stiggzab]

seguro que no es nada raro:



[b]O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

[/b]

ni [b]O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll[/b] ??

[msc hotline sat]

yA LE HEMOS DICHO LAS QUE TENIA QUE ELIMINAR... LAS DEMAS DEJELAS ESTAR !



saludos



ms, 12-06-2007

[Stiggzab]

os actualizo:



POR FIN ya he conseguido entrar a esa sesion de administrador y he usado el Hijack para borrar unicamente esas dos entradas que decias

[b]O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Program Files\Video ActiveX Object\iesplugin.dll (file missing)



O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE [/b]



he aprovechado para pasar el Hijack y el Elistara a c: asique cuando pueda(ya creo que no necesito ser administrador ni con privilegios) entro en modo seguro y uso elistara aunque no se muy bien para que si ya lo elimine con el Hijack

[msc hotline sat]

Bueno, el ELISTARA llega y elimina claves donde el HJT no llega, pues el registro es inmenso y el HJT solo muestra un % minimo, el de mas probabilidades de contener malwares, pero hay mucho mas y el ELISTARA detecta y elimina lo que conoce esté donde esté, para lo que a veces requiere el ELINOTIF.DLL como complemento.



Pruebelo y posteenos el contenido del fichero resultante c:\infosat.txt para ver el resultado del proceso.



saludos



ms, 18.06-2007

[Stiggzab]

aaaaaaaaaaaaaaaaa



olvide el ELINOTIF lo voy a tener que demorar un poco

[msc hotline sat]

Tranqui, si lo necesitara, lo indicaría el infosat.txt:



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469



saludos



ms, 18-06-2007

[Stiggzab]

pues lo descargo de ahi, arranco en modo seguro y lo uso



pd:en sesion de invitado no me hace ningun INFOSAT...en modo seguro tampoco creo ¿entonces que posteo?

[msc hotline sat]

El infosat.txt se crea en C:\ lo hagas como lo hagas y utilices la utilidad que utilices (de las nuestras, claro), asi que mira en C:\ y buscar el fichero INFOSAT.TXT .



Luego abres dicho fichero de texto con el bloc de Notas (NOTEPAD), seleccionando todo su contenido (ALT-E), copiandolo al portapapeles (CTRL-C), y pegandolo sobre el post de respuesta (CTRL-V)



saludos



ms, 19-06-2007

[Stiggzab]

te juro que no

el unico que vi fue ayer en la sesion de administrador

despues de eliminar esas keys del hijack,di a ELISTARA y no hice un chequeo a los discos duros(no tenia elinotif),cerre elistara y ahi SI QUE ME PONIA que habia un infosat



que es------------>:[b]Mon Jun 18 20:19:38 2007

EliStartPage v14.07 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\Documents and Settings\Juan nueva\Favorites\Online Security Test.url --> Eliminado (Fichero Complementario).

Eliminada Class, "{5D4831E0-5A7C-4A46-AFD5-A79AB8CE36C2}" -> C:\Program Files\Video ActiveX Object\iesplugin.dll

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE[/b]

[msc hotline sat]

Deja estar el ELINOTIF, que no te lo pide, y en cambio EXPLORA las unidades, que no aparece el correspondiente informe (solo por accion directa, no el de EXPLORACION)



saludos



ms, 19-06-2007

[Stiggzab]

es normal que se sobrecargue tanto y empiece a pitar la torre usando programas como el VIDEORA iPOD CONVERTER o por algo que haga con el VIRTUAL DUB (edicion de video,pegar subtitulos,etc)



con el taskmgr compruebo que al usar estos programas sube mucho el uso de memoria y con el sobrecargamiento del ordenador...el uso del CPU no excede los 50%



cambie de ventilador hace rato y no creo que sea razon de ello pues es de los programas que uso,esos 2,los que hacen pitar a la torre

[msc hotline sat]

Pues mirale la temperatura, como indicamos al final de:



https://foros.zonavirus.com/viewtopic.php?f=5&t=11159



y por favor, termina lo que hablabamos anteriormente posteandonos el ultimo c:\infosat.txt en el que veremos el resultado de la EXPLORACION



saludos



ms, 24-06-2007