Log del HTJ de mi pc (SOLUCIONADO)

vzlapaty · Mensaje por **vzlapaty** » 08 Nov 2007, 16:06

Logfile of HijackThis v1.99.1

Scan saved at 11:03:31 a.m., on 08/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\PowerISO\PWRISOVM.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.ve

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [C-Media Mixer] C:\Archivos de programa\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Archivos de programa\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://carlitoh1.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Mensaje por **msc hotline sat** » 08 Nov 2007, 16:42

????

https://foros.zonavirus.com/viewtopic.php?f=13&t=5148

ms.

vzlapaty · Mensaje por **vzlapaty** » 08 Nov 2007, 17:25

Ops se me olvido indicar el problema disculpenme..

Pase el nanoscan y esto fue lo q consiguio:

Resultado del análisis

Resumen:

Tu PC está infectado con 3 virus (Ocultar detalle)

Generic Trojan (1)

C:\WINDOWS\SYSTEM32\28463\JWVU.006

Troyano Activo

Generic Malware (1)

C:\WINDOWS\SYSTEM32\28463\JWVU.EXE

Troyano Activo

Application/Ardamax (1)

C:\WINDOWS\SYSTEM32\28463\JWVU.007

Ppnd Activo

Mensaje por **lucl** » 08 Nov 2007, 17:32

Sigue la ruta y envianoslos para su analisis, te dejo link de como hacerlo, saludos

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

vzlapaty · Mensaje por **vzlapaty** » 08 Nov 2007, 17:42

YA LOS ENVIE:) ESPERO POR SU RESPUESTA

Mensaje por **msc hotline sat** » 08 Nov 2007, 18:06

Cuando a las 18 horas se ha cerrado la admision de muestras por hoy, no habia llegado ninguna con su referencia. Mañana, si han llegado, entraran en proceso.

De todos modos, ya que son troyanos, renombre su extension a .VIR y asi tras reiniciar ya no se pondrán en uso.

saludos

ms, 8-11-2007

vzlapaty · Mensaje por **vzlapaty** » 08 Nov 2007, 18:16

Tengo una duda... para yo poder buscar en esa carpeta donde se encuentra el troyano C:\WINDOWS\system32\28463

cuando intento entrar manualmente a esa carpeta no logro encontrar la carpeta ni tampoco usando el buscador...

la forma en q lo consiguio es colocando la direccion completa en la parte de arriba y asi si me lleva...Porq pasa esto?

vzlapaty · Mensaje por **vzlapaty** » 08 Nov 2007, 18:21

Otra cosa q note es q hay varios de estos archivos JWVU en esa carpeta... el 007 ya no lo encuentro y aveces cuando abro la carpeta salen muchas screenshots tomadas y luego desaparecen como a los 3 segundos

Mensaje por **msc hotline sat** » 08 Nov 2007, 18:32

No conocemos este malware, cuando mañana se analice podremos informarle

saludos

ms.

Mensaje por **msc hotline sat** » 09 Nov 2007, 12:43

Analizado los ficheros enviados para analizar:

[quote]
C:\WINDOWS\SYSTEM32\28463\JWVU.006

C:\WINDOWS\SYSTEM32\28463\JWVU.EX

C:\WINDOWS\SYSTEM32\28463\JWVU.007 [/quote]

Es un keylogger comercial, disponible en internet, que ya detectan los antivirus como Ardamax:

http://ardamax-keylogger.uptodown.com/

Lo pasaremos a controlar con el ELISTARA de hoy 15.00, pero posiblemente ademas haya alguna funcion de desinstalar, o se pueda hacer desde Agregar o Quitar programas, como aplicacion instalada

Ojo que quizas alguien de su circulo proximo, con acceso a este PC, se lo ha instalado para controlarle.

saludos

ms, 9-11-2007

vzlapaty · Mensaje por **vzlapaty** » 09 Nov 2007, 17:24

Que puedo hacer para quitarlo?

Mensaje por **lucl** » 09 Nov 2007, 18:12

presta atencion a cuando suban la nueva version de elistara, entonces la descargas y ejecutas, y nos pegas el log que te dejara en C infosat.txt ademas mira en agregar o quitar programas a ver si tienes algo que desconoces y nos lo comentas, saludos

Mensaje por **lucl** » 09 Nov 2007, 18:14

por cierto ya esta la nueva version descargala y ejecutala en el pc y peganos el log , saludos

http://www.zonavirus.com/descargas/elistara.asp

vzlapaty · Mensaje por **vzlapaty** » 09 Nov 2007, 18:15

Busque en agregar y quitar programas y naada :S en la pagina q pusieron del keylogger ahi sale q es casi completamente invisible y muy dificil de encontrar :S. Esperare al elistara.

Gracias x su ayuda :D

Mensaje por **lucl** » 09 Nov 2007, 18:17

[quote="lucl"]por cierto ya esta la nueva version descargala y ejecutala en el pc y peganos el log , saludos

http://www.zonavirus.com/descargas/elistara.asp

ya la tienes como te he dicho, saludos :D

vzlapaty · Mensaje por **vzlapaty** » 09 Nov 2007, 18:18

Oye me baje el elistara 15.00 pero cuando le doi a abrir sale una ventana negra y luego se cierra =/. No puedo abrir esa version

Mensaje por **lucl** » 09 Nov 2007, 18:25

Arranca el pc en modo seguro e intenta pasarlo de ese modo .

Nos comentas si puedes, saludos

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

vzlapaty · Mensaje por **vzlapaty** » 09 Nov 2007, 18:38

Lo intente y tampoco pude :S. He probado otras versiones y si e podido pero con esta no :s. q puedo haceR?

vzlapaty · Mensaje por **vzlapaty** » 09 Nov 2007, 19:58

Asi es la ventana q sale al intentar abrir el ELISTARA

Mensaje por **lucl** » 09 Nov 2007, 20:19

espera que lo pruebo a ver si es solo cosa tuya o pasa a los demas, ahora vuelvo saludos

vzlapaty · Mensaje por **vzlapaty** » 09 Nov 2007, 20:23

Ok Espero x ti :D

Mensaje por **msc hotline sat** » 09 Nov 2007, 20:35

Recibido un privado de lucl al respecto, cuando estaba con lo indicado en este caso.

Sí, parece que al subir el ELISTARA de hoy, ha habido algun problema y no se ha copiado bien. visto el que subió, no empieza ni por MZ ...

Como sea que esta version de evaluacion no está aun en la web de SATINFO, solo he podido volver a subor la de ayer, 14.99 y será el lunes cuando podremos volver a subir la 15.00 que necesita para este Keylogger.

De todas formas, mientras, renombre la extension del fichero .EXE a .VIR y ya no se ejecutará y dejará de incordiar y enviar lo que esté haciendo este ordenador a la direccion de quien haya instalado este keylogger, que es lo que acostumbran a hacer estas aplicaciones.

Y el lunes lo remataremos.

saludos

ms, 9-11-2007

Mensaje por **lucl** » 09 Nov 2007, 20:38

EDITO: Msc sorry el pisoton, saludos

mil perdones y recuerda mantenlos renombrados a .VIR y no te daran guerra :wink: , saludos

nota. y el lunes seguro que a primerisima hora esta solucionado, :lol: saludos

vzlapaty · Mensaje por **vzlapaty** » 09 Nov 2007, 20:39

Ah ok =).. Ya yo pensaba que era mi pc jeje...

Entonces a esperar al lunes :D

Mensaje por **msc hotline sat** » 09 Nov 2007, 20:43

Pero mientras renombra el fichero EXE a VIR y aparcarás el problema, no vayas a enviar mas datos tuyos a quien ya supones... :wink:

saludos

ms, 9-11-2007

Mensaje por **msc hotline sat** » 12 Nov 2007, 12:50

Y ya puedes descargar el ELISTARA 15.00 ...

SALUDOS

ms, 12-11-2007

vzlapaty · Mensaje por **vzlapaty** » 12 Nov 2007, 16:51

MSC tengo una pregunta... antes del lanzar el elistara tengo q quitarle el .VIR a los archivos?

vzlapaty · Mensaje por **vzlapaty** » 12 Nov 2007, 17:33

Pase el elistara.

Aqui esta el InfoSat

Mon Nov 12 12:08:05 2007

EliStartPage v15.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Mon Nov 12 12:09:38 2007

EliStartPage v15.00 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\28463\JWVU.006.VIR.VIR --> Eliminado, Keylog-Ardamax.S

C:\WINDOWS\system32\28463\JWVU.VIR.EXE --> Eliminado, Keylog-Ardamax.S

Nº Total de Directorios: 4782

Nº Total de Ficheros: 71821

Nº de Ficheros Analizados: 15973

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Mensaje por **msc hotline sat** » 12 Nov 2007, 18:13

Pues tras eliminar los malwares, reinicia y comentanos si persiste alguna anomalia o ya podemos considerar solucionado el Tema

saludos

ms, 12-11-2007

vzlapaty · Mensaje por **vzlapaty** » 12 Nov 2007, 18:36

Ya reinicie :D.. Pero aun tengo una duda ya que al buscar en la carpeta donde se encontraba el virus aun quedan otros archivos con el nombre del keyloger