Problemas con no se que... (SOLUCIONADO)

[Morrison_HBK]

Hola amigos. este es mi primer post... espero que puedan ver mi log.. y decirme que es lo que tengo mal... mi antivirus me manda cada minutos mensajes de troyano... y no se que hacer..

Logfile of HijackThis v1.99.1
Scan saved at 16:20:39, on 13-07-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
E:\WINDOWS\Explorer.EXE
E:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\system32\spoolsv.exe
E:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
E:\WINDOWS\RTHDCPL.EXE
E:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
E:\Archivos de programa\ewido\security suite\ewidoctrl.exe
E:\Archivos de programa\ewido\security suite\ewidoguard.exe
E:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
E:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
E:\Archivos de programa\RegCleaner\RegCleanr.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Archivos de programa\Internet Explorer\iexplore.exe
E:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
E:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Documents and Settings\Aaron\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8710FC9F-0816-49D7-AE14-4BA5269E838C} - E:\WINDOWS\system32\geBsRhFV.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {BC728C13-5691-4529-A1C2-E662A9AD1C87} - E:\WINDOWS\system32\rqRJYrOF.dll (file missing)
O2 - BHO: (no name) - {C58E54DB-CA15-4DDC-A3D6-4E311E0A5FAB} - E:\WINDOWS\system32\ljJYQHaW.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avast!] E:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "E:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE863297-1F79-4075-B413-83ABF51EF5A5}: NameServer = 200.75.0.4 200.75.25.224
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - E:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - E:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: geBsRhFV - E:\WINDOWS\SYSTEM32\geBsRhFV.dll
O20 - Winlogon Notify: rqRJYrOF - rqRJYrOF.dll (file missing)
O20 - Winlogon Notify: WgaLogon - E:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - E:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - E:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - E:\Archivos de programa\ewido\security suite\ewidoguard.exe

helpppppppp

[lucl]

Busca estos tres archivos que te marco en negrita

E:\WINDOWS\system32\geBsRhFV.dll
E:\WINDOWS\system32\rqRJYrOF.dll
E:\WINDOWS\system32\ljJYQHaW.dll

y subelos a analizar a virustotal, nos pegas los logs de resultado que te daran si salen viricos

http://www.virustotal.com

y instala el sp3 que estas vulnerable a nuevos virus muy molestos, saludos

[Morrison_HBK]

E:\WINDOWS\system32\geBsRhFV.dll
0 bytes size received / Se ha recibido un archivo vacio

E:\WINDOWS\system32\rqRJYrOF.dll <--- NO SE ENCONTRO ARCHIVO

Análisis del archivo ljJYQHaW.dll recibido el 13.07.2008 23:10:31 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


Resultado: 10/33 (30.31%)


Motor antivirus Versión Última actualización Resultado

Código: Seleccionar todo

AhnLab-V3 2008.7.11.0 2008.07.11 - 
AntiVir 7.8.0.64 2008.07.13 TR/Crypt.XPACK.Gen 
Authentium 5.1.0.4 2008.07.13 - 
Avast 4.8.1195.0 2008.07.13 - 
AVG 7.5.0.516 2008.07.13 Vundo.U 
BitDefender 7.2 2008.07.13 Trojan.Vundo.EWZ 
CAT-QuickHeal 9.50 2008.07.11 - 
ClamAV 0.93.1 2008.07.13 - 
DrWeb 4.44.0.09170 2008.07.13 Trojan.Virtumod.based.21 
eSafe 7.0.17.0 2008.07.13 - 
eTrust-Vet 31.6.5949 2008.07.12 - 
Ewido 4.0 2008.07.13 - 
F-Prot 4.4.4.56 2008.07.13 W32/Virtumonde.AB.gen!Eldorado 
F-Secure 7.60.13501.0 2008.07.12 - 
Fortinet 3.14.0.0 2008.07.13 - 
GData 2.0.7306.1023 2008.07.13 Trojan.Win32.Monderc.gen 
Ikarus T3.1.1.26.0 2008.07.13 - 
Kaspersky 7.0.0.125 2008.07.13 Trojan.Win32.Monderc.gen 
McAfee 5337 2008.07.11 - 
Microsoft 1.3704 2008.07.13 Trojan:Win32/Vundo.gen!R 
NOD32v2 3263 2008.07.11 - 
Norman 5.80.02 2008.07.11 Vundo.gen188 
Panda 9.0.0.4 2008.07.13 - 
Prevx1 V2 2008.07.13 - 
Rising 20.52.62.00 2008.07.13 - 
Sophos 4.31.0 2008.07.13 - 
Sunbelt 3.1.1536.1 2008.07.12 - 
Symantec 10 2008.07.13 - 
TheHacker 6.2.96.378 2008.07.13 - 
TrendMicro 8.700.0.1004 2008.07.11 - 
VBA32 3.12.6.9 2008.07.12 - 
VirusBuster 4.5.11.0 2008.07.13 - 
Webwasher-Gateway 6.6.2 2008.07.13 Trojan.Crypt.XPACK.Gen 
Información adicional 
Tamano archivo: 319488 bytes 
MD5...: 17e90ffb4e43ec15e2b0bfec0de3c27d 
SHA1..: da2d0623a8956e09629e568e312ba63fcd3f7f9f 
SHA256: e168cf4b64c545080afe407bc8c530793dadc40120f273117cd0cb77b79c6fb3 
SHA512: b14c839a46338893f454d2a8a047f81086c90d1f007c5ff7357f74fd9e0ff34e
f0b994fb72707c5c8e95e40ac639a4ffd019144cf335ac411ffdb6d61ba444be 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1009d920
timedatestamp.....: 0x592b9702 (Mon May 29 03:35:30 2017)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.data 0x1000 0x9c000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.text 0x9d000 0x11e3 0x1200 6.15 f7da88ded966592a9cb07f0a2f3a2f26
.rdata 0x9f000 0x4c000 0x4c000 8.00 3b39e5ac7292fcc7cd0f41de089f8083
.idata 0xeb000 0x1000 0x600 3.74 313b589347d6303518bc646d3af281f7
.reloc 0xec000 0x1000 0x400 6.71 d560bcf31c5b24f32cf304b0c136aa7b

( 4 imports ) 
> kernel32.dll: lstrlenW, lstrcmpA, ExpandEnvironmentStringsA, CompareStringW, HeapFree, HeapCreate, SignalObjectAndWait, InitializeCriticalSection, CreateEventA, InterlockedCompareExchange
> gdi32.dll: GdiConvertFont, GdiConvertBrush, UpdateColors, SetPixel, Arc, RoundRect, EngGradientFill, RemoveFontResourceA, CreateRectRgn, FillRgn, BRUSHOBJ_hGetColorTransform
> comctl32.dll: PropertySheet, ImageList_Create, CreateUpDownControl, FlatSB_EnableScrollBar, ImageList_GetIcon, ImageList_DragEnter, CreateMappedBitmap, ImageList_Destroy, CreateToolbar, ImageList_DragMove, ImageList_SetBkColor, ImageList_EndDrag, ImageList_SetIconSize, ImageList_Copy
> comdlg32.dll: CommDlgExtendedError, ChooseFontA, PageSetupDlgA, ChooseColorA, FindTextA

( 0 exports )

Eso fue lo que me mostro la pagina... espero sirva de algo.. estoy bajando el sp3 como me dijiste..
agradecido de su colaboracion.... thanks...

[lucl]

Renombralos con el boton derecho del raton, le quitas el .exe y le pones .VIR , y envianos el archivo para analizarlo y darte la herramienta necesaria para su eliminacion, saludos

[Morrison_HBK]

la muestra ya fue enviada... gracias...

[msc hotline sat]

Aunque analizaremos las muestras cuando nos incorporemos al trabajo en SATINFO, ¿has probado el ELISTARA con el ELINOTIF?

Y por si se tratara de un VUNDO9, mira lo que indicamos en:
viewtopic.php?f=5&t=23759

saludos

ms, 14-07-2008

[msc hotline sat]

Analizadas las muestras enviadas, pasamos a controlarlas a partIr del Elistara de hoy 16.70

Se trata de VUNDO 9 y de CONHOOK, pro lo que conviene tener en cuenta:
viewtopic.php?f=5&t=23759

saludos
ms, 14-07-2008

[Morrison_HBK]

El problema se soluciono.. los archivos fueron eliminados correctamente y por lo tanto ahora puedo navegar tranquilo...

gracias agradezco mucho su ayuda y su disposicion, completamente agradecido.. por ayudarme a solucionar este problemas..

gracias.. Atte.. Morrison_HBK...



Pd: incluyo el InfoSat....





Mon Jul 14 14:32:04 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\IIFGEBYY] -> E:\WINDOWS\SYSTEM32\iifgebyY.dll

Key Eliminada [WinLogon\Notify\RQRJYROF] -> E:\WINDOWS\SYSTEM32\rqRJYrOF.dll

E:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

E:\Documents and Settings\Escritorio\MP3.lnk --> Eliminado (Fichero Complementario).

E:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jul 14 14:34:06 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 3925

Nº Total de Ficheros: 28779

Nº de Ficheros Analizados: 14425

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Mon Jul 14 14:43:55 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

--------------------------------------------------



Mon Jul 14 14:44:21 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 3926

Nº Total de Ficheros: 28783

Nº de Ficheros Analizados: 14425

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





agradeciendo la comprencion.. muuuuuchas gracias...

[lucl]

Pues entonces si esta solucionado cerramos el tema y si tienes cualquier cosa ya sabes donde estamos, saludos