chequear Urgente XD (SOLUCIONADO)

[kemato]

Se me han cambiado ciertas cosas de mi maquina.



Por ejemplo no puedo usar el ejecutar, ni el simbolo de sistemas o lineas de comandos...





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 9:38:42, on 15/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Premium\sched.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Premium\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Avira\AntiVir PersonalEdition Premium\avesvc.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Custom Skin Clock\Clock.exe

C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Premium\avgnt.exe

C:\Archivos de programa\Spyware Terminator\SpywareTerminatorShield.exe

C:\Archivos de programa\Tweak-XP Pro\tranicon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\Archivos de programa\Spyware Terminator\sp_rsser.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Premium\avmailc.exe

C:\Archivos de programa\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE

C:\WINDOWS\system32\wscntfy.exe

F:\Herra\HiJackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60327

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://amkbpk.110mb.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Ahsan Manan Khan Bhutta * Internet Explorer *

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

F2 - REG:system.ini: Shell=explorer.exe,

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

O3 - Toolbar: Barra &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Corel12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=100407 serial=dr12wex-1504397-kty lang=ES

O4 - HKLM\..\Run: [SCS Virtual Drive Tray] C:\ARCHIV~1\vdrive\vdload.exe /load

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Custom Skin Clock] C:\Archivos de programa\Custom Skin Clock\Clock.exe

O4 - HKLM\..\Run: [TXP] c:\archivos de programa\topthemesxp\txp.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [mmtask] C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Archivos de programa\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKCU\..\Run: [TransTask] "C:\Archivos de programa\Tweak-XP Pro\transtask.exe"

O4 - HKCU\..\Run: [TransparentIcons] "C:\Archivos de programa\Tweak-XP Pro\tranicon.exe" -ex

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"

O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe

O4 - HKCU\..\Run: [msnmsgr] "E:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe

O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O12 - Plugin for .pd: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Premium\avmailc.exe

O23 - Service: Avira AntiVir Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Premium\sched.exe

O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Premium\avguard.exe

O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE

O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir PersonalEdition Premium\avesvc.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Archivos de programa\Spyware Terminator\sp_rsser.exe



--

End of file - 8844 bytes

[msc hotline sat]

Pues de entrado vemos dos antivirus instalados, debes desinstalar uno de ellos para evitar colisiones y ralentizacion.



AParte vemos infeccion de una de las tropecientes variantes de ONLINE GAMES:



C:\WINDOWS\system32\kavo.exe



Prueba el ELISTARA:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

que te detectará y si es una variante conocida lo eliminará o pedirá muestra para analizar.



Aparte vemos este fichero sospechoso:



C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll



envianoslo para analizar y subelo al VirusTotal, www.virustotal.com/es , para adelantar conocimientos, y si detectan que está infectado, postearnos el informe resultante y renombrar la extension de dicho fichero a .VIR



saludos



ms, 24 de Agosto de 2008

[kemato]

aqui esta el archivo despues que corri el Elistara



Fri Aug 29 04:15:49 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

F:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "kava"="C:\WINDOWS\system32\kavo.exe"

Eliminada Carpeta "%Archivos de Programa%\OneStepSearch"

Eliminada Carpeta "%Archivos de Programa%\VVSN"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Aug 29 04:17:08 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\CMDLINEEXT03.DLL --> Eliminado, Spy-CmdLineExt



Nº Total de Directorios: 4059

Nº Total de Ficheros: 60557

Nº de Ficheros Analizados: 16095

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Aug 29 04:33:59 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 2173

Nº Total de Ficheros: 37566

Nº de Ficheros Analizados: 4632

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Aug 29 04:37:14 2008

EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

F:\RECYCLER\DISC.BAT --> Eliminado, AutoRun.EJQ



Nº Total de Directorios: 51

Nº Total de Ficheros: 885

Nº de Ficheros Analizados: 32

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1





---------------------------------------------------



Agradezco por la ayuda...



Ya tengo normal mi maquina...

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 30 de Agosto de 2008







NOTA: Además, le falta instalar el SP3, lance un windowsupdate e instalelo. Y para evitar la propagacion de virus de pendrive como este que ha tenido, vacune ordenador y unidades de pendrive con el ELIPEN: http://www.zonavirus.com/descargas/elipen.asp . ms.