LOG HIJACK THIS

jlp · Mensaje por **jlp** » 15 Dic 2007, 03:03

Buen día al foro,

Tengo un problema con el PC, que sospecho es un virus spyware o malware.

Al entrar en Internet, cada tanto el PC se vuelve loco y entra a abrir y cerrar distintas ventanas y creando archivos nuevos en el escritorio de la nada (por. ejemplo nuevo archivo Winrar.zip o nueva hoja de excel o powerpoint que al verlos tienen cada uno 0 KB).

Copio y pego aquí el log de Hijack this versión 2, para que alguien me de alguna idea de que eliminar.

Se agradece por anticipado cualquier ayuda.

Gracias.-

--------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:41:26, on 14/12/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\explorer.exe

C:\BACKUP\ROULETTE\RouletteSoft\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar4.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MS Windows Executor Process] MSEXECP32.exe

O4 - HKCU\..\Run: [MS Domain Server Lookup] MSDSL32.exe

O4 - HKCU\..\Run: [Windows Management] stmng32.exe

O4 - HKCU\..\Run: [MS System Call Function] MSSCF32.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/229?74752f0875c74d6782c4041d631e413f

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/230?74752f0875c74d6782c4041d631e413f

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O16 - DPF: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper) -

O16 - DPF: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper) -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BDEC973-B5AC-4e5b-8AB3-5A0500880DA2} -

O16 - DPF: {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) -

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper) -

O16 - DPF: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper) -

O16 - DPF: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper) -

O16 - DPF: {BE756CFF-ADB4-4bc5-A35F-19E546E5710E} -

O16 - DPF: {FE5B9F54-7764-4C01-89F0-4862601EE954} (DigWebHelper Class) - http://photos.msn.com/resources/neutral/controls/DigWebX2.cab?10,0,910,0

O17 - HKLM\System\CCS\Services\Tcpip\..\{F48F8DC3-8913-46B8-B2E1-FD6B1C17853E}: NameServer = 200.40.220.245 200.40.30.245

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

End of file - 8257 bytes

Saludos,

JLP.-

Mensaje por **msc hotline sat** » 15 Dic 2007, 11:43

Eliminar estas claves:

O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

O16 - DPF: {2BDEC973-B5AC-4e5b-8AB3-5A0500880DA2} -

O16 - DPF: {BE756CFF-ADB4-4bc5-A35F-19E546E5710E} -

enviarnos muestras para analizar de:

C:\W

MSEXECP32.exe

MSDSL32.exe

stmng32.exe

MSSCF32.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Tras analizar las muestras enviadas informaremos

saludos

ms, 15-12-2007

notas: http://www.castlecops.com/s13856-msscf32_exe.html

http://www.castlecops.com/s14645-MS_Windows_Executor_Process.html

http://fileinfo.prevx.com/adware/qq66c858174752-STMN29487015/STMNG32.EXE.html

http://www.cybertechhelp.com/forums/archive/index.php/t-139790.html

y actualice los parches, que no tiene ni el SP1 !!!

jlp · Mensaje por **jlp** » 15 Dic 2007, 19:32

Gracias Administrador por la rápida respuesta.

He eliminado las claves indicadas y enviaré las muestras de tales archivos referenciados.

¿Estos archivos se encuentran en el Directorio Windows\System32?Los buscaré.

He corrido distintos antivirus : Xsoftspy (eliminó Banker Trojan),

AVG Antispyware (sólo detectó cookies de seguimiento).

Sin embargo cada tanto al hacer uso intensivo del mouse sigue el problema de las ventanas que se cierran y abren de improviso, a veces creando archivos de Okb en el escritorio como ya referencié antes.

Este es el nuevo Log de Hijack luego de haber eliminado las claves :

-----------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:20:17, on 15/12/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\BACKUP\ROULETTE\RouletteSoft\HiJackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar4.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/229?4010f51177be4835bec4a396cc46bb0e

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-es\msntabres.dll.mui/230?4010f51177be4835bec4a396cc46bb0e

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: English<->Croatian - C:\BACKUP\LingvoSoft\LingvoSoft Talking Dictionary 2007 (English-Croatian) for Windows\Plugins\IE.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O16 - DPF: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper) -

O16 - DPF: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper) -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) -

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper) -

O16 - DPF: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper) -

O16 - DPF: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper) -

O16 - DPF: {FE5B9F54-7764-4C01-89F0-4862601EE954} (DigWebHelper Class) - http://photos.msn.com/resources/neutral/controls/DigWebX2.cab?10,0,910,0

O17 - HKLM\System\CCS\Services\Tcpip\..\{F48F8DC3-8913-46B8-B2E1-FD6B1C17853E}: NameServer = 200.40.220.245 200.40.30.245

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

End of file - 7496 bytes

JLP.-

jlp · Mensaje por **jlp** » 15 Dic 2007, 19:37

Hola Administrador,

Hay otra clave en el Log del Hijack que es la siguiente y dice (no File) :

~~[b]~~O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [/b]

¿Se puede eliminar?

Gracias por anticipado,

JLP.-

jlp · Mensaje por **jlp** » 15 Dic 2007, 20:23

Hola de nuevo Admin.,

Con respecto a los archivos :

enviarnos muestras para analizar de:

C:\W ----- > Este archivo no existe bajo el Dir. raíz

MSEXECP32.exe ---- > No está (sólo un archivo de texto)

El archivo se llama msexecp32.exe-up.txt

Lo escribo más abajo

MSDSL32.exe ----- > Este no está en Dir. Windows

stmng32.exe ----- > Tampoco está bajo Dir. Windows

MSSCF32.exe ---- > No está (sólo un archivo de texto)

El archivo se llama msscf32.exe-up.txt

------------------------------------------------------

msexecp32.exe-up.txt :

__SEH__ 0xc00000fd at 0x77f5f8fa

CS :0x0000001B SS :0x00000023 DS :0x00000023

ES :0x00000023 FS :0x00000038 GS :0x00000000

EAX:0x01683084 EDX:0x7FFE0304 ECX:0x0168304C

ESP:0x01682FFC EBP:0x01683050 EIP:0x77F5F8FA

ESI:0x000000A4 EDI:0x00000000

-- backtrace --

0x77f5f8fa:[ntdll.dll]:(001:0001e8fa)

0x77e77582:[kernel32.dll]:(001:00036582)

0x77e56615:[kernel32.dll]:(001:00015615)

0x71a33c70:[WS2_32.dll]:(001:00002c70)

0x0040cff1:[MSEXECP32.exe]:(001:0000bff1)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

0x0040d4bb:[MSEXECP32.exe]:(001:0000c4bb)

--stack--

0x01682ffc: 0x00000000 0x00000000 0x00000000 0x00000000

0x0168300c: 0x00000000 0x00000000 0x00000000 0x00000000

0x0168301c: 0x00000000 0x00000000 0x00000000 0x00000000

0x0168302c: 0x00000000 0x00000000 0x00000000 0x00000000

0x0168303c: 0x00000000 0x00000000 0x00000000 0x00000000

0x0168304c: 0x77f4c3c4 0x016830b0 0x77e77582 0x01683084

0x0168305c: 0x77e7756d 0x00000000 0x0014e0f8 0x00000000

0x0168306c: 0x00000102 0x01683074 0x00000000 0x00000000

------------------------------------------------------------

JLP.-

jlp · Mensaje por **jlp** » 15 Dic 2007, 23:35

Hola de nuevo,

Bueno he eliminado mediante regedit las referencias en el registro de Windows de tales archivos sospechosos.

En otra posterior instancia ejecuté Spybot pero no encontró absolutamente nada.

Más tarde descargué las últimas versiones de Elistara y Elitrilp -

éste último eliminó un archivo - akiller.dll pero que formaba parte de otro programa antispyware (advanced spyware remover) por lo que no se si este último funciona ahora.

Sin embargo el problemas de las ventanas que se cierran y abran todavía continúa.

¿No será problema de Hardware?

El disco duro es de 80 GB y tiene ocupado 68GB, quedando 12 GB libres.

¿No estará muy lleno?

Se agradece la ayuda al respecto.

Gracias de nuevo,

JLP.-

Mensaje por **msc hotline sat** » 16 Dic 2007, 08:38

No, no debe eliminar la clave que preguntaba, O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) , pues es del Windows Live Messenger :

http://www.castlecops.com/tk32132-htc_8_1_0178_00_dll.html

y sobre el antispyware que indica, mas vale que utilice [url=http://www.ewido.net/en/download/]Antispyware aconsejado[/url] como recomendamos, y hemos visto que ya conoce, pues este otro está en una relación de no recomendados

http://www.ajuca.com/modules.php?file=article&name=News&sid=27

Sobre lo que dice del disco duro "El disco duro es de 80 GB y tiene ocupado 68GB, quedando 12 GB libres", si el disco duro está bien formateado, sin inventos "Magicos", o esté dañado, ... no tiene que ser motivo de problemas.

Y lo referente a los ficheros que no encuentra, ahi tiene el problema, probablemente algun RootKit se lo impide, y con ello oculta el troyano, posteenos el log que le genere esta utilidad de McAfee, aunque si ha metido mano al registro y ha eliminado claves que no le hemos dicho, cualquier cosa es posible ! :roll:

ROOTKITDETECTIVE (ACCESO AL LINK DE DESCARGA)

http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

Tras analizar el log, informaremos

saludos

ms, 16-12-2007

nota: Y sobre lo que indica de "Sin embargo el problemas de las ventanas que se cierran y abran todavía continúa.

¿No será problema de Hardware? " todo es posible, pero segun lo indicado, menos probable.

http://www.castlecops.com/s13856-msscf32_exe.html

http://www.castlecops.com/s14645-MS_Windows_Executor_Process.html

http://fileinfo.prevx.com/adware/qq66c858174752-STMN29487015/STMNG32.EXE.html

http://www.cybertechhelp.com/forums/archive/index.php/t-139790.html

ms.

jlp · Mensaje por **jlp** » 17 Dic 2007, 03:23

Buen día Administrador,

Bueno, he seguido lo que aconsejasteis.

Descargué el software RootkitDetective.

Lo ejecuté bajo las 2 modalidades :

1) Modo normal de Windows.

2) Modo seguro sin funciones de red y bajo Administrador.

En ningún caso encontró nada.

Lo que puedo decir es que el problema persiste.

Aparentemente la actividad del virus se activa y se acrecienta al hacer uso del movimiento del mouse.Es cómo si el mouse activara algo.

Bajé una utilidad (RegistryBlaster) para limpiar y scanear el registro de errores :

Encontró 360 errores (reparó sólo 15), el resto uno debe registrarse.¿Existe alguna utilidad parecida en la zona de descargas que repare todo o que no tenga limitaciones?

Otra cosa he notado al oprimir ctrol-alt-del que trae a pantalla el administrador de windows, cuando la actividad del posible virus se hace intensa (abre y cierra ventanas en forma alocada),corre iconos de un lado a otro de la pantalla,hasta ejecuta algún programa (ha corrido el avg), etc. en la lista de procesos del administrador figura un archivo : rundll32.exe -

¿Podrá ser este el virus?

¿Por lo que he visto es un archivo de windows, pero podría estar infectado?

Los antivirus que he corrido (Avg, AVGantispyware, Spybot, Xsoftspy) no han encontrado nada incluso cuando la actividad de las ventanas coincide con los testeos.

No he corrido aún el Ewido.

Se agradece la posible ayuda.

Gracias,

JLP.-

jlp · Mensaje por **jlp** » 17 Dic 2007, 04:43

Hola de nuevo,

Siguiente paso :

*Ejecute Ewido en la modalidad de Online Scan :

Encontró solo cookies de seguimiento y un AdwareLookme (mediumn risk) justamente en HijackThis.

Las cuales eliminó.

Pero el problema aún persiste.

¿Será posible que esos 350 errores del registro que aún persisten sean el causante del problema?

Se agradece la pronta ayuda,

Gracias por anticipado,

JLP.-

Mensaje por **msc hotline sat** » 17 Dic 2007, 07:11

Lo que indica del rundll32.exe no es probable, pero sí posible, claro, subalo al virustotal para asegurarse https://www.virustotal.com/es/

Y lo que no vemos es el log del ROOTKITDETECTIVE , posteelo con un copiar y pegar, es lo que nos puede orientar mas en sus circunstancias.

saludos

ms, 17-12-2007

jlp · Mensaje por **jlp** » 17 Dic 2007, 22:35

[quote="msc hotline sat"]Lo que indica del rundll32.exe no es probable, pero sí posible, claro, subalo al virustotal para asegurarse https://www.virustotal.com/es/

Y lo que no vemos es el log del ROOTKITDETECTIVE , posteelo con un copiar y pegar, es lo que nos puede orientar mas en sus circunstancias.

saludos

ms, 17-12-2007[/quote]

Buen día Administrador,

He aquí el LOG de Rootkitdetective :

McAfee(R) Rootkit Detective 1.1 scan report

On 16-12-2007 at 15:52:15

OS-Version 5.1.2600

Service Pack 0.0

====================================

Object-Type: SSDT-hook

Object-Name: ZwConnectPort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateFile

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreatePort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateProcess

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateProcessEx

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateSection

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateWaitablePort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwDeleteFile

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwDeleteKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwDeleteValueKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwDuplicateObject

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwEnumerateKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwEnumerateValueKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwLoadKey2

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwMapViewOfSection

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenFile

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenProcess

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenThread

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwQueryKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwQueryValueKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwReplaceKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwRequestWaitReplyPort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwRestoreKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwSecureConnectPort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwSetInformationFile

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwSetSystemInformation

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwSetValueKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwTerminateProcess

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SYSTEM_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_POWER

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CLEANUP

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SHUTDOWN

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_DEVICE_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_FLUSH_BUFFERS

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_WRITE

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_READ

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CREATE

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CLEANUP

Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path: \SystemRoot\System32\Drivers\avgtdi.sys

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_DEVICE_CONTROL

Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CLOSE

Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CREATE

Object-Path: \SystemRoot\System32\vsdatant.sys

Scan complete. No hidden processes/files found.

Total files scanned: 47001

McAfee(R) Rootkit Detective 1.1 scan report

On 16-12-2007 at 15:56:07

OS-Version 5.1.2600

Service Pack 0.0

====================================

Object-Type: SSDT-hook

Object-Name: ZwConnectPort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateFile

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreatePort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateProcess

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateProcessEx

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateSection

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateWaitablePort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwDeleteFile

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwDeleteKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwDeleteValueKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwDuplicateObject

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwEnumerateKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwEnumerateValueKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwLoadKey2

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwMapViewOfSection

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenFile

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenProcess

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenThread

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwQueryKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwQueryValueKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwReplaceKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwRequestWaitReplyPort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwRestoreKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwSecureConnectPort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwSetInformationFile

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwSetSystemInformation

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwSetValueKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwTerminateProcess

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SYSTEM_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_POWER

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CLEANUP

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SHUTDOWN

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_DEVICE_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_FLUSH_BUFFERS

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_WRITE

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_READ

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CREATE

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CLEANUP

Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path: \SystemRoot\System32\Drivers\avgtdi.sys

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_DEVICE_CONTROL

Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CLOSE

Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CREATE

Object-Path: \SystemRoot\System32\vsdatant.sys

Scan complete. No hidden processes/files found.

Total files scanned: 50610

McAfee(R) Rootkit Detective 1.1 scan report

On 16-12-2007 at 20:04:49

OS-Version 5.1.2600

Service Pack 0.0

====================================

Scan complete. No hidden processes/files found.

Total files scanned: 0

McAfee(R) Rootkit Detective 1.1 scan report

On 16-12-2007 at 20:05:12

OS-Version 5.1.2600

Service Pack 0.0

====================================

Scan complete. No hidden processes/files found.

Total files scanned: 0

McAfee(R) Rootkit Detective 1.1 scan report

On 16-12-2007 at 20:05:20

OS-Version 5.1.2600

Service Pack 0.0

====================================

Scan complete. No hidden processes/files found.

Total files scanned: 0

McAfee(R) Rootkit Detective 1.1 scan report

On 16-12-2007 at 20:05:28

OS-Version 5.1.2600

Service Pack 0.0

====================================

Scan complete. No hidden processes/files found.

Total files scanned: 0

McAfee(R) Rootkit Detective 1.1 scan report

On 17-12-2007 at 19:25:07

OS-Version 5.1.2600

Service Pack 0.0

====================================

Object-Type: SSDT-hook

Object-Name: ZwConnectPort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateFile

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreatePort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateProcess

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateProcessEx

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateSection

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwCreateWaitablePort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwDeleteFile

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwDeleteKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwDeleteValueKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwDuplicateObject

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwEnumerateKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwEnumerateValueKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwLoadKey2

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwMapViewOfSection

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenFile

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenProcess

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwOpenThread

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwQueryKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwQueryValueKey

Object-Path: C:\WINDOWS\system32\drivers\sptd.sys

Object-Type: SSDT-hook

Object-Name: ZwReplaceKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwRequestWaitReplyPort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwRestoreKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwSecureConnectPort

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwSetInformationFile

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwSetSystemInformation

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwSetValueKey

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: SSDT-hook

Object-Name: ZwTerminateProcess

Object-Path: C:\WINDOWS\system32\vsdatant.sys

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SYSTEM_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_POWER

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CLEANUP

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_SHUTDOWN

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_DEVICE_CONTROL

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_FLUSH_BUFFERS

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_WRITE

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_READ

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Ftdisk->IRP_MJ_CREATE

Object-Path:

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CLEANUP

Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_INTERNAL_DEVICE_CONTROL

Object-Path: \SystemRoot\System32\Drivers\avgtdi.sys

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_DEVICE_CONTROL

Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CLOSE

Object-Path: \SystemRoot\System32\vsdatant.sys

Object-Type: IRP-hook

Object-Name: \Driver\Tcpip->IRP_MJ_CREATE

Object-Path: \SystemRoot\System32\vsdatant.sys

Scan complete. No hidden processes/files found.

Total files scanned: 59403

---------------------------------------------------

JLP.-

jlp · Mensaje por **jlp** » 17 Dic 2007, 22:46

Hola de nuevo,

He aquí el resultado del análisis del archivo rundll32.exe :

Análisis del archivo rundll32.exe recibido el 17.12.2007 22:40:07 (CET)

Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO

Resultado: 0/32 (0%)

Cargando información del servidor..

Su archivo se encuentra encolado en la posición: ___.

Se estima que tendrá que esperar entre ___ y ___

hasta el comienzo del análisis.

No cierre la ventana hasta se haya completado el análisis.

El analizador que estaba procesando su muestra se encuentra detenido,

se va a esperar unos segundos por si fuera posible recuperar el resultado.

Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.

Su archivo está siendo analizado por VirusTotal en estos momentos,

los resultados se iran mostrando a continuación.

Compactar Imprimir resultados

La muestra ha caducado o no existe.

El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.

Email:

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2007.12.18.10 2007.12.17 -

AntiVir 7.6.0.45 2007.12.17 -

Authentium 4.93.8 2007.12.16 -

Avast 4.7.1098.0 2007.12.17 -

AVG 7.5.0.503 2007.12.17 -

BitDefender 7.2 2007.12.17 -

CAT-QuickHeal 9.00 2007.12.17 -

ClamAV 0.91.2 2007.12.17 -

DrWeb 4.44.0.09170 2007.12.17 -

eSafe 7.0.15.0 2007.12.17 -

eTrust-Vet 31.3.5382 2007.12.17 -

Ewido 4.0 2007.12.17 -

FileAdvisor 1 2007.12.17 -

Fortinet 3.14.0.0 2007.12.17 -

F-Prot 4.4.2.54 2007.12.17 -

F-Secure 6.70.13030.0 2007.12.17 -

Ikarus T3.1.1.15 2007.12.17 -

Kaspersky 7.0.0.125 2007.12.17 -

McAfee 5187 2007.12.17 -

Microsoft 1.3109 2007.12.17 -

NOD32v2 2728 2007.12.17 -

Norman 5.80.02 2007.12.17 -

Panda 9.0.0.4 2007.12.17 -

Prevx1 V2 2007.12.17 -

Rising 20.23.02.00 2007.12.17 -

Sophos 4.24.0 2007.12.17 -

Sunbelt 2.2.907.0 2007.12.15 -

Symantec 10 2007.12.17 -

TheHacker 6.2.9.161 2007.12.17 -

VBA32 3.12.2.5 2007.12.17 -

VirusBuster 4.3.26:9 2007.12.17 -

Webwasher-Gateway 6.6.2 2007.12.17 -

Información adicional

Tamano archivo: 31744 bytes

MD5: c1ff0868432e86dc75620e32c83fb933

SHA1: f36bb6fa88c3f8579dc30ba2f3f8ebc49a66e08c

PEiD: -

----------------------------------------------------

El archivo parece ser confiable.

JLP.-

jlp · Mensaje por **jlp** » 17 Dic 2007, 23:03

Hola de nuevo,

En estas previas instancias descargué un programa para limpiar los errores del registro ya mencionado.

Reparó casi todos a excepción de algunos.

Pero el problema aún persiste.

¿Se puede reinstalar winxp encima del existente sin tener que formatear el equipo y por ende perdiendo toda la información?

¿O puedo volver a una instancia anterior de restauración del sistema operativo mediante los puntos de restauración y mucho tiempo antes del ataque del virus (la máquina del tiempo)?

¿O todo esto es inútil y el virus igual continuará?

Tal vez la única instancia válida sea la de formatear y reinstalar.

¿Otra posible salida? :

En el disco duro quedan libres 12GB.

Yo podría reparticionar el disco con una nueva partición de 10GB, achicando la partición existente con alguna utilidad, instalar winxp de nuevo en la partición nueva y manteniendo los datos de la partición antigua.

¿Qué utilidad puedo usar a tal fin - Partition Magic?

¿Qué aconsejais?

Gracias de nuevo,

JLP.-

Mensaje por **msc hotline sat** » 18 Dic 2007, 06:27

Pues ya ve que en rundll32.exe no contiene virus conocido por ninguno de los 32 antivirus utilizados por el virustotal, y que el AntiRootKity de McAfee no ha detectado detecciones al respecto.

Reinstalando se pierde la instalacion de las aplicaciones instaladas, si acaso REPARE, no reinstale:

[quote="para REPARAR WINDOWS, msc"]

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

Si decide restaurar sistema a un punto anterior, recuerde que perderá lo instalado desde entoces, incluidos los parches, por lo que tras ello lance un windowsupdate.

No aconsejamos en absoluto el Partition Magic, inventos no, gracias, siempre nos han dado problemas al modificar los sectores reservados, en contra de lo standar.

Si quiere particionar hagalo desde el principio, si es lo que desea hacer.

saludos

ms, 18-12-2007

jlp · Mensaje por **jlp** » 19 Dic 2007, 14:13

Buen día Administrador,

El PC tiene instalado el WinXp siguiente de acuerdo al informe dado por el Rootkit Detective :

On 16-12-2007 at 15:52:15

OS-Version 5.1.2600

[color=red]~~[b]~~Service Pack 0.0 [/b][/color]

Una consulta :

Justamente el Service Pack 0.0 no lo tengo para efectuar la reparación.

Tengo sí el Service pack 1 y el 2.

¿Se puede intentar reparar con el Service pack 1 o el 2 de cualquier manera o el sistema no lo toma y debo repararlo con el Service pack 0.0 primero, para después pasar al SP1 y SP2 en otra instancia de actualización?

Se agradece la ayuda y ........

Feliz Año Nuevo!!!

JLP.-

Mensaje por **msc hotline sat** » 19 Dic 2007, 14:57

Los Service Pack ya se instalaran despues con un windowsupdate. Primero REPARE el sistema, como se ha indicado, con lo que se sobreescriben todos los ficheros de sistema, y luego lanza un windowsupdate, con lo que les instalará los parches

saludos

ms, 19-12-2007

LOG HIJACK THIS

LOG HIJACK THIS

Nuevo Log Hijack this

Consulta sobre clave

Archivos sospechosos

UPDATE

NUEVO UPDATE

Nuevo Update

Análisis rundll32.exe

REPARAR WINXP