DATA MINER!!! (SOLUCIONADO)

van_petrucci · Mensaje por **van_petrucci** » 11 Oct 2007, 05:38

Que tal... pues al parecer tengo problemas con estos data miner... ya los he intentado eliminar y nada.. vuelven a aparecer... mis sintomas son:

1.- De repente en mi Firefox me aparece error de que no se pudo cargar mi pagina (le tengo que dar actualizar o reintentar y ya carga bien la web)

2.- El messenger se traba por ratos de repente

3.- Las paginas no cargan bien o muy lento

He intentado pasar una prueba en modo a prueba de fallos pero ni siquiera puedo arrancar ahi porque le pongo en modo a prueba de fallos y se queda mi pantalla como azul con el cursor (no se traba) pero no carga el modo a prueba ... dejo el log del Adaware y del Hijack..

Gracias!

AD-WARE:

Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : administrador@atdmt[2].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:6

Value : Cookie:administrador@atdmt.com/

Expires : 06-10-2012 07:00:00 p.m.

LastSync : Hits:6

UseCount : 0

Hits : 6

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : administrador@doubleclick[1].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:1

Value : Cookie:administrador@doubleclick.net/

Expires : 10-10-2007 10:29:26 p.m.

LastSync : Hits:1

UseCount : 0

Hits : 1

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 2

Objects found so far: 2

Deep scanning and examining files...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 2

Disk Scan Result for C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 2

Disk Scan Result for C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 2

Scanning Hosts file......

Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

1 entries scanned.

New critical objects:0

Objects found so far: 2

MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct3d

MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct X

MRU List Object Recognized!

Location: : software\microsoft\directdraw\mostrecentapplication

Description : most recent application to use microsoft directdraw

MRU List Object Recognized!

Location: : S-1-5-21-1644491937-1284227242-725345543-500\software\microsoft\mediaplayer\preferences

Description : last playlist index loaded in microsoft windows media player

MRU List Object Recognized!

Location: : S-1-5-21-1644491937-1284227242-725345543-500\software\microsoft\mediaplayer\preferences

Description : last playlist loaded in microsoft windows media player

MRU List Object Recognized!

Location: : S-1-5-21-1644491937-1284227242-725345543-500\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru

Description : list of recent programs opened

MRU List Object Recognized!

Location: : S-1-5-21-1644491937-1284227242-725345543-500\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru

Description : list of recently saved files, stored according to file extension

MRU List Object Recognized!

Location: : S-1-5-21-1644491937-1284227242-725345543-500\software\microsoft\windows\currentversion\explorer\recentdocs

Description : list of recent documents opened

MRU List Object Recognized!

Location: : S-1-5-21-1644491937-1284227242-725345543-500\software\microsoft\windows media\wmsdk\general

Description : windows media sdk

Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 11

10:35:35 p.m. Scan Complete

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:06:30.313

Objects scanned:110827

Objects identified:2

Objects ignored:0

New critical objects:2

HIJACK THIS:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:38:30 p.m., on 10/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\CDProxyServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\UberIcon\UberIcon Manager.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MessengerDiscovery\MessengerDiscovery Live.exe

C:\Archivos de programa\MSN Messenger\livecall.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Documents and Settings\Administrador\Mis documentos\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [UberIcon] "C:\Archivos de programa\UberIcon\UberIcon Manager.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: XCP CD Proxy (CD_Proxy) - Unknown owner - C:\WINDOWS\CDProxyServ.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

Mensaje por **msc hotline sat** » 11 Oct 2007, 05:50

Tienes esta aplicacion que podría ser un RootKit:

C:\WINDOWS\CDProxyServ.exe

pero cuidado que Sony instalaba (hubo mucha polémica) estos Rootkits para ocultar ficheros de sus CD protegidos y asi no poder copiarlos...

Si no eres consiente de querelo tener instalado, renombra dicho fichero a .VIR y tras reiniciar mira si todo te va bien, y si es asi, entonces podrías eliminar la clave que lo carga como servicio:

O23 - Service: XCP CD Proxy (CD_Proxy) - Unknown owner - C:\WINDOWS\CDProxyServ.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Aparte para eliminar lo que te detecta el AD-AWARE, desactiva la restauracion de sistema, arranca en modo segur0 y lanzalo de nuevo, que así podrá eliminarlos al no estar en uso.

saludos

ms, 11-10-2007

van_petrucci · Mensaje por **van_petrucci** » 11 Oct 2007, 06:20

me encuentro en modo seguro... use el metodo de /safeboot

ahora quiero desactivar la casilla para volver a la normalidad pero le doy inicio y no me aparece "ejecutar" :?

Mensaje por **msc hotline sat** » 11 Oct 2007, 06:27

Para editar el BOOT.INI y restaurar el arranque, prueba de arrancar en modo seguro en solo simbolo de sistema, y alli escribes lo que quieres ejecutar y ENTER (y procede con el MSCONFIG o el NOTEPAD y modificas el BOOT.INI, segun como estés acostumbrado)

saludos

ms, 11-10-2007

van_petrucci · Mensaje por **van_petrucci** » 11 Oct 2007, 06:49

no puedo! jaja

intente iniciar en modo seguro con simbolo del sistema.. pero me manda de nuevo automaticamente al modo seguro como arranque inicialmente.. despues intente abrir desde inicio-accesorios-simbolo del sistema.. y escribi "boot.ini" desde la ruta C:\ y me abre un notepad con estos datos:

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /safeboot:network

intento borrar la parte de "/safeboot" pero me dice que ese archivo ya existe y es de solo lectura y que tengo que cambiarle de nombre ....

Mensaje por **msc hotline sat** » 11 Oct 2007, 06:59

Claro, pero ya lo debes saber de cuando pusiste lo del SAFEBOOT, que con el ATTRIB debes quitar los atributos para modificarlo..., o usa el MSCONFIG mas comodo, como estés acostumbrado.

saludos

ms, 11-10-2007

van_petrucci · Mensaje por **van_petrucci** » 11 Oct 2007, 07:17

le doy: attrib -r boot.ini

y me aparece que el archivo oculto no se reztablece

despues si doy: attrib -r boot.ini /s

no me aparece nada y se queda parpadeando el cursor del modo seguro :( :(

no se como abrir o usar el msconfig que me dices... le doy ahi el comando msconfig y me dice que es un comando por lotes y pues no se ejecutaaaa :(

van_petrucci · Mensaje por **van_petrucci** » 11 Oct 2007, 07:29

ya estoy en sesion normal.. lo que hice fue apretar la tecla Windows+R y me abrio el comando ejecutar... volvi a escribir el msconfig y desactive la casilla jaja

ahora ando pasandole el ad-aware haber que tal...

Gracias

EDIT: acaba de terminar el scan y no me dio los entries de los data miner pero me dio los de MRU.. estos son peligrosos?

Hosts file scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

1 entries scanned.

New critical objects:0

Objects found so far: 0

MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct3d

MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct X

MRU List Object Recognized!

Location: : software\microsoft\directdraw\mostrecentapplication

Description : most recent application to use microsoft directdraw

MRU List Object Recognized!

Location: : S-1-5-21-1644491937-1284227242-725345543-500\software\microsoft\internet explorer\typedurls

Description : list of recently entered addresses in microsoft internet explorer

MRU List Object Recognized!

Location: : S-1-5-21-1644491937-1284227242-725345543-500\software\microsoft\search assistant\acmru

Description : list of recent search terms used with the search assistant

MRU List Object Recognized!

Location: : S-1-5-21-1644491937-1284227242-725345543-500\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru

Description : list of recent programs opened

MRU List Object Recognized!

Location: : S-1-5-21-1644491937-1284227242-725345543-500\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru

Description : list of recently saved files, stored according to file extension

MRU List Object Recognized!

Location: : S-1-5-21-1644491937-1284227242-725345543-500\software\microsoft\windows\currentversion\explorer\recentdocs

Description : list of recent documents opened

MRU List Object Recognized!

Location: : S-1-5-21-1644491937-1284227242-725345543-500\software\microsoft\windows\currentversion\explorer\runmru

Description : mru list for items opened in start | run

Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 9

12:37:30 a.m. Scan Complete

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:07:07.907

Objects scanned:110402

Objects identified:0

Objects ignored:0

New critical objects:0

Mensaje por **msc hotline sat** » 11 Oct 2007, 07:41

Cada anti... tiene su lista, si empleas el ad_adware, limpialo co él

Si el ELISTARA no los ha eliminado, es que nosotros no los conocemos

saludos

ms, 11-10-2007

van_petrucci · Mensaje por **van_petrucci** » 11 Oct 2007, 07:49

GRACIAS! al parecer esta jalando mejor... lo tendre de prueba unos dias haber que tal va!

cualquier cosa estare informando

MUCHAS GRACIAS!!!

Mensaje por **msc hotline sat** » 11 Oct 2007, 10:04

Pues damos el Tema por solucionado y si apareciera de nuevo, haz lo mismo

Y en cualquier caso, ya sabes donmde estamos

saludos

ms, 11-10-2007