sonido de clicks y problemas con explorer.exe y messenger

lokehu · Mensaje por **lokehu** » 29 Nov 2007, 00:50

Hola a tod@s!

Vereis, hace un par de dias, he notado que el pc me va mas lento y no para de oirse el sonido click (como cuando le das a un enlace o abres una carpeta) y suena repetidamente. Se para y vuelve....Y el consumo de CPU por el explorer.exe se dispara cuando suenan. He pasado el panda antivirus y me encuentra un virus en el archivo acluick.dll y no lo consigo eliminar. Ademas, en ocasiones, me salen dos ventanas de mensaje, una en español y otra en ingles diciendo algo como "quieres salir sin enviar el mensaje? aceptar - cancelar" y cuando ejecuto el messenger (y ya estoy viendo a mis contactos) e intento ir a mi correo, me dice que la sesion ya esta iniciada con xxxxxxxxxxxxxxxx@hotmail.com (siendo las xxxxx letras y numeros, y que no siempre son los mismos). Entonces si le doy a continuar en esa sesion, que no se quien es, nada mas hay que mensajes devueltos y si intento cerrar sesion y meterme en la mia, me dice que la contraseña no es valida. Sin embargo sin entro por hotmail.com si que me deja. Eso si, tengo la bandeja de entrada llena de mensajes devueltos mandados a vete a saber que direcciones (unos 30 emails o asi) y con el asunto en ingles diciendo algo como "no te preocupes por tu peso".

Lo del sonido del clickeo me he fijado que empieza al conectarme a internet. Y cuando salen las ventanas de mensaje, en el administrador de tareas en aplicaciones (ctrl alt supr) me salen dos iconos con "windows live messenger".

Que puedo hacer? Teneis alguna idea?

Gracias de antemano

Salu2!

Stone_FREE_ · Mensaje por **Stone_FREE_** » 29 Nov 2007, 07:00

Postea un log del HijackThis para ver si haY algo raro en tu PC.

Recuerda que antes de sacar el log, debes haber cerrado todos los programas que tengas abiertos, incluidos los navegadores de internet y el messenger.

Mensaje por **msc hotline sat** » 29 Nov 2007, 07:08

Dice:

"He pasado el panda antivirus y me encuentra un virus en el archivo acluick.dll y no lo consigo eliminar"

Por el nombre de este fichero no hay informacion , diganos ademas de postear el log del HJT, como se le indica, qué virus le detecta Panda, gracias

saludos

ms, 29-11-2007

lokehu · Mensaje por **lokehu** » 29 Nov 2007, 13:28

Pues aqui les pongo el log del hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:20:09, on 29/11/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\pavsrv51.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsCtrls.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsImSvc.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\ApvxdWin.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\System32\atiptaxx.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\Mixer.exe

C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ppdmj6mf.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\WebProxy.exe

C:\WINDOWS\System32\msiexec.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\psimreal.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {741C1C21-D911-4286-AD9E-E76249007D7D} - c:\windows\system32\acluik.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [ppdmj6mf] C:\WINDOWS\system32\ppdmj6mf.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [AdobeUpdater] C:\Archivos de programa\Archivos comunes\Adobe\Updater5\AdobeUpdater.exe

O4 - HKCU\..\Run: [ppdmj6mf] C:\WINDOWS\system32\ppdmj6mf.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191240986734

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-544afeac6d502ce1.spaces.live.com/PhotoUpload/MsnPUpld.cab

O20 - Winlogon Notify: kwvudcrg - C:\WINDOWS\SYSTEM32\acluik.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsCtrls.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsImSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

--

End of file - 8909 bytes

Y aqui lo que me dice el panda del archivo acluik.dll:

-Evento: Adware detectado:Adware/AVSystemCare

-Ubicacion: C:\windows\system32\acluik.dll

-Resultado: Eliminado (pero no lo elimina)

A ver si podemos hacer algo!

Gracias!

Salu2!

Mensaje por **msc hotline sat** » 29 Nov 2007, 15:25

Bueno siendo un adware, simplemente son popups y pantallas de publicidad, no es maligno...

Pero vamos a por él

De entrada enviando dicho fichero:

C:\windows\system32\acluik.dll

En cuanto lo recibamos lo analizaremos e implementaremos su control y eliminacion en nuestras utlidades, exactamente en el ELISTARA

y revisando el log envianos tambien este otro, que promete ...:

C:\WINDOWS\system32\ppdmj6mf.exe

y en cuanto lo hayas hecho, lanza un windowsupdate, que te faltan instalar todos los del SP2 y posteriores !!!

saludos

ms, 29-11-2007

lokehu · Mensaje por **lokehu** » 29 Nov 2007, 19:09

Como envio los archivos? el exe por extension no me deja, si se la quito tampoco y comprimido en rar tampoco y el dll, no puedo ni siquiera copiarlo ni adjuntarlo......

Y como solucionar lo que comente del correo electronico?

Salu2!

Y hare los updates!

Mensaje por **msc hotline sat** » 29 Nov 2007, 19:30

Arrancas en modo seguro y empaquetas con password VIRUS los ficheros indicados, en lo cual no debes tener problema, y si luego el ZIP o RAR no te lo deja enviar, le cambias la extension, pulsando boton derecho, indicando CAMBIAR NOMBRE y le pones la extension que quieras o se la quitas incluso, eso si, dinos lo que has hecho en texto del mail, sino nos volveriamos locos...

saludos

ms, 29-11-2007

lokehu · Mensaje por **lokehu** » 29 Nov 2007, 23:52

Pues aqui va. Es un archivo rar con la contraseña que dijiste, renombrado a jpg, porque no habia manera de adjuntarlo ;).

Salu2!

evangelion_01 · Mensaje por **evangelion_01** » 30 Nov 2007, 06:09

no we, lo debes enviar desde tu mail a la cuenta de zonavirus

Mensaje por **msc hotline sat** » 30 Nov 2007, 07:30

Sigue las instrucciones y adjunta el .RAR coin password al e-mail que envies a zonavirus@satinfo.es , indicando como referencia tu nick en el foro:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 30-11-2007

Mensaje por **msc hotline sat** » 03 Dic 2007, 11:32

Recibidas muestras enviadas, se detectan rutinas viricas y se pasan a controlar con el ELISTARA de hoy 15.18

Esta noche lo pruebas y nos posteas el infosat, gracias:

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 3-12-2007

lokehu · Mensaje por **lokehu** » 04 Dic 2007, 00:04

Pues alli va el infosat.txt que se me ha generado:

Mon Dec 03 21:23:10 2007

EliStartPage v15.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\Saul\Configuración local\Datos de programa\Microsoft\WALLPAPER1.BMP --> Eliminado (Fichero Complementario).

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Dec 03 21:23:48 2007

EliStartPage v15.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\!KillBox\PPDMJ6MF.EXE --> Eliminado, Obfuscator.Q

C:\WINDOWS\system32\ACLUIK.DLL --> Acceso Denegado, Trojan.Pakes.BPW

Nº Total de Directorios: 5131

Nº Total de Ficheros: 69004

Nº de Ficheros Analizados: 17890

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 1

Mon Dec 03 22:32:43 2007

EliStartPage v15.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Dec 03 22:33:15 2007

EliStartPage v15.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 5132

Nº Total de Ficheros: 68978

Nº de Ficheros Analizados: 17881

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Pero el archivo c:\windows\system32\acluik.dll sigue alli!!!

Siguiente paso?

Salu2!

Mensaje por **msc hotline sat** » 04 Dic 2007, 10:30

Prueba el ELISTARA en modo seguro, a ver si evitamos que entre en uso y asi podemos eliminarlo, y sino con el KILLBOX:

http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp

Cabe un ultimo metodo de arrancar en consola de recuperacion, pero veamos estos metodos mas sencillos primero.

Cuentanos el resultado, gracias

saludos

ms, 4-12-2007

lokehu · Mensaje por **lokehu** » 05 Dic 2007, 01:03

Bueno pues aqui pongo el infosat.txt desde modo seguro:

Tue Dec 04 23:25:34 2007

EliStartPage v15.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\ACLUIK.DLL --> Acceso Denegado, Trojan.Pakes.BPW

Nº Total de Directorios: 5140

Nº Total de Ficheros: 70365

Nº de Ficheros Analizados: 17936

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Tue Dec 04 23:55:38 2007

EliStartPage v15.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\Saul\Configuración local\Datos de programa\Microsoft\WALLPAPER1.BMP --> Eliminado (Fichero Complementario).

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Y el archivo sigue....

Lo he intentado borrar con el killbox desde modo seguro, directamente, y nada. Y en modo de eliminacion de reinicio, despues de esperar la cuenta atras me sale este mensaje:

"PendingFileRenameOperation Registry Data has been Removed by external Process" y no hace nada. Lo mismo en la opcion de dummy.

Lo que si he conseguido eliminar en reinicio ha sido el acluik.dll.bak

Tambien, iniciando en modo de solo simbolo de sistema, lo intento borrar con la orden "del archivo" y me dice acceso denegado......

Otra forma de borrar achivos???

Gracias y salu2!

Mensaje por **msc hotline sat** » 05 Dic 2007, 08:51

Sí, caben dos mas, la cuestiuon es que no se arranque desde este disco duro:

O bien poniendo el disco duro como esclavo en otro ordendor con similar sistema (que sea NTFS), o bien arranbcando con el CD de instalacion de windows y accediendo con R a la consola de recuperacion, desde alli ir a

C:\WINDOWS\system32\

y con un DEL borrar el

ACLUIK.DLL

Si optas por la ultima y te manejas bien en MSDOS te será muy fácil, sino dinoslo y te ayudaremos

saludos

ms, 5-12-2007

lokehu · Mensaje por **lokehu** » 05 Dic 2007, 14:55

Desde la consola de recuperacion no ha habido ningun problema para borrar el acluik.dll, pero........ el sonido de clicks continua y el explorer.exe e IEXPLORER.EXE hacen que la CPU este al 100%. Y creo que comienza cuando conecto el router para tener conexion a internet.....

Mensaje por **msc hotline sat** » 06 Dic 2007, 13:52

Muy bien por la eliminacion del acluik.dll desde la consola de recuperacion, un problema menos !

Y deciamos:

[quote]y revisando el log envianos tambien este otro, que promete ...:

C:\WINDOWS\system32\ppdmj6mf.exe [/quote]

y al respecto solo veo que el ELISTARA ha detectado uno en otra carpeta, y lo ha eliminado:

[quote]EliStartPage v15.18 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\!KillBox\PPDMJ6MF.EXE --> Eliminado, Obfuscator.Q

C:\WINDOWS\system32\ACLUIK.DLL --> Acceso Denegado, Trojan.Pakes.BPW [/quote]

pero el de la carpeta de sistema no sé si todavía está, pues no sé si lo enviaste y es posible que no sea el mismo que el que eliminamos, sino otra variante, por lo que es muy importante que mires si tienes dicho fichero y nos lo envies para controlarlo y eliminar a él y a sus parientes por cadena de deteccion, asi como sus claves de carga, que vemos dos, una de HKCU y otra de HKLM y muy bien podria ser el residente que aun te incordia

Recuerda:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y si aun lo tienes, aparte de enviarnoslo, renombra su extension a .VIR para que, en el proximo reinicio, ya no se ponga en marcha

saludos

ms, 6-12-2007

lokehu · Mensaje por **lokehu** » 10 Dic 2007, 13:54

Pues no consigo eliminar las claves con el hijackthis desde modo seguro. Me sale el siguiente mensaje:

"HitjackThis is about to remove a BHO and the corresponding file from your system. Close all Internet Explorer windows AND all Windows Explorer windows before continuing for the best chance success."

Termino el proceso explorer. exe para que solo se quede en pantalla el hitjackthis, pero no elimina las claves. Os pongo de nuevo el log de hjt:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:51:05, on 10/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsCtrls.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\pavsrv51.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\AVENGINE.EXE

C:\WINDOWS\System32\HPZipm12.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsImSvc.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\ApvxdWin.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\WebProxy.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\Mixer.exe

C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Messenger\MSMSGS.EXE

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {741C1C21-D911-4286-AD9E-E76249007D7D} - c:\windows\system32\acluik.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [AdobeUpdater] C:\Archivos de programa\Archivos comunes\Adobe\Updater5\AdobeUpdater.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191240986734

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-544afeac6d502ce1.spaces.live.com/PhotoUpload/MsnPUpld.cab

O20 - Winlogon Notify: kwvudcrg - acluik.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsCtrls.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsImSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

--

End of file - 9358 bytes

He actualizado windows con el SP2 y el explorer 7.

He intentando borrar las referencias a acluik.dll en el registro ejectando el regedit pero tampoco me deja eliminar.

El otro ejecutable ppdmj6mf.exe lo borre con el killbox de la carpeta system32. El otro que aparecia era una copia que hice para mandarosla.

Y los malditos clicks continuan sonando ahora mismo!!!

Salu2!!!

Mensaje por **msc hotline sat** » 10 Dic 2007, 14:56

Te quedan por eliminar estas claves:

O2 - BHO: (no name) - {741C1C21-D911-4286-AD9E-E76249007D7D} - c:\windows\system32\acluik.dll (file missing)

O20 - Winlogon Notify: kwvudcrg - acluik.dll (file missing)

y si dices que no las puedes eliminar, probablemente es porque tienes este fichero:

c:\windows\system32\acluik.dll

con atributos de H, S, y R quizás, por lo que has de eliminarlo, si conviene arrancando en consola de recuperacion para ello:

Arranca con el CD de instalacion, pulsa R para entrar en la consola y desde entorno DOS, elimina dicho fichero con un DEL

Tras ello arranca en modo seguro y elimina las claves en cuestion

slaudos

ms, 10-12-2007

lokehu · Mensaje por **lokehu** » 10 Dic 2007, 21:55

Pues el archivo c:\windows\system32\acluik.dll lo elimine desde la consola de recuperacion del CD de instalacion de windows. Tal y como me explicasteis. Luego en modo seguro intento eliminar las claves que nombras y me sale el mensaje que os he puesto y no las quita.

He buscado dicho archivo otra vez por el disco duro y no aparece y he pasado el antivirus y no encuentra nada.

Tendré que formatear??? puff

Salu2!

Mensaje por **msc hotline sat** » 11 Dic 2007, 05:28

Como que ya sabes hacerlo, mira que no se haya restablecido dicho fichero, c:\windows\system32\acluik.dll , entrando en consola de recuperacion para ello.

Me temo que pudiera estar ademas en DLLCACHE y aunque lo borraras, se restableciera al volver a arrancar windows.

Es la explicacion que encuentro si no puedes eliminar dichas claves, y mientras esté no podrás. Tienes que eliminarlo de todas partes :wink:

saludos

ms, 11-12-2007

NOTA: Vuelve a probar el ELISTARA y sabrás si todavía está... ms.

lokehu · Mensaje por **lokehu** » 14 Dic 2007, 14:15

No existen los archivos en ningun sitio en mi ordenador y no hay manera de eliminar las claves en ningun modo, ni seguro, ni recuperacion.....

Paso HJT y no encuentra nada. Elistara perfecto y antivirus igual. Pero no para de hacer los clicks en cuanto tengo conexion a internet. Se pone la CPU a tope y me he fijado en en Administrador de tareas->Aplicaciones aparecen ventanas del explorador con el nombre Windows Live Messenger o Session y que yo no las he abierto y por suspuesto no las veo. Pero es cerrarlas y la CPU se baja a lo normal.

Salu2!

Mensaje por **msc hotline sat** » 14 Dic 2007, 15:20

Pues seguramente el messenger está enviando virus a todos sus contactos...

Hoy hemos potenciado el ELITRIIP con una nueva variante apenas conocida, prueba la version 4.20 del ELITRIIP que ya esta en esta web e informanos, gracias

[quote]http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 14-12-2007

lokehu · Mensaje por **lokehu** » 19 Dic 2007, 13:20

Pues el ELITRIIP encontro algo, pero el problema sigue.....

Sun Dec 16 20:33:26 2007

EliTriIP v4.20 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Dec 16 20:33:41 2007

EliTriIP v4.20 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\HP\Digital Imaging\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

C:\Archivos de programa\HP\Temp\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\autorun.inf --> Eliminado, BackDoor.CMQ(inf)

Nº Total de Directorios: 5518

Nº Total de Ficheros: 78622

Nº de Ficheros Analizados: 19850

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Os pongo una imagen de mi escritorio capturando las aplicaciones que aparecen y los mensajes. En ese momento no sonaban los clicks, por eso el uso de CPU es bajo.

Tambien me he dado cuenta que cuando suena algun maldito click, la ventana que tengo activa se desactiva, teniendo que volver a darle al raton (por ejemplo, me ha pasado escribiendo este texto).

Salu2!

Mensaje por **msc hotline sat** » 19 Dic 2007, 13:35

Lo mas probable es que tenga un malware de Messenger, de los que cada dia controlamos de nuevos.

Pruebe las nuevas versiones de las utilidades ELITRIIP y ELISTARA , y si no detecta nada, lance estos AVONLINE , a ver si detecta algo, es posible que el nanoscan nos dé alguna pista..., informenos del resultado

[quote]~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

y los AV ONLINE:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]AV ONLINE aconsejado[/color][/b][/url]

y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

saludos

ms, 19122007