SVCHOST tomo el control de mi maquina (SOLUCIONADO)

[Juan_Franco]

Hola a todos!!!



Les cuento mi problema:



Instalando el CD de bluewin (swisscom) obligado por la compania para que me "genere" el nombre de usuario y la contraseña, tuve el detalle de aceptar una modificacion en el SVCHOST (con el Outpost que previamente el CD pedia que apague).



Realmente (y por mala suerte mia) no recuerdo que cambio me pedia, pero recuerdo que lo acepte. Crei que no seria tan danino.



Luego en el proceso de instalacion el NOD32 detecto codigo malicioso y el "spy-boot search & destroy" detecto el "WWWCool SVCHOST" o algo asi. Realmente no recuerdo bien el nombre pero casi seguro era asi.



Ahora a traves del Outpost Firewall puedo ver que todas las conexiones del firefox por ejemplo se hacen en "[b]localhost:loopback[/b]" y todos los entrantes y salientes pasan por SVCHOST.exe (Generic Host Process).



Alguien me puede dar una mano? Probe con el nuevo elistara, SUPERantyspyware Free, Spyboot-search&destroy, CCleaner y nada. Sigue sucediendo lo mismo.



A ver si a alguien le paso!

Saludos!!!!

f.

[Juan_Franco]

Por las dudas que sirva aca dejo el LOG del hijackthis.





Logfile of HijackThis v1.99.1

Scan saved at 10:29:52 a.m., on 03/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\CacheBoost\trayicon.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\ATK0100\HControl.exe

C:\Archivos de programa\ASUS\Power4 Gear\BatteryLife.exe

C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Spam\QSP-5.0.416.0\QOELoader.exe

C:\Archivos de programa\ASUS\WLAN Card Utilities\Center.exe

C:\Archivos de programa\Huawei technologies\USB Modem Connection\Data\E220Util.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

C:\Archivos de programa\CacheBoost\cbsrv.exe

C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Archivos de programa\Archivos comunes\Motive\McciCMService.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\UStorSrv.exe

C:\WINDOWS\System32\vssvc.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

C:\Archivos de programa\Smarty Uninstaller Pro\SmartyUninstallerPro.exe

C:\WINDOWS\system32\RunDll32.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\set4F.tmp

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\set4F.tmp



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [CacheBoost] C:\Archivos de programa\CacheBoost\trayicon.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [Power_Gear] C:\Archivos de programa\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [QOELOADER] "C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Spam\QSP-5.0.416.0\QOELoader.exe"

O4 - HKLM\..\Run: [Control Center] C:\Archivos de programa\ASUS\WLAN Card Utilities\Center.exe

O4 - HKLM\..\Run: [HUAWEI E220 UTIL] C:\Archivos de programa\Huawei technologies\USB Modem Connection\Data\E220Util.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MotiveReportAgent] "C:\ARCHIV~1\Common Files\Motive\McciBootStrapper.exe" /url="-APPKEY=Motive -WindowContext=RA -url=file://C:\ARCHIV~1\Common Files\Motive\ReportAgent.html" /browsertype=CustomMSIE /browserpath="C:\Archivos de programa\Common Files\Motive\McciBrowser.exe" /hidden

O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu

O4 - HKCU\..\Run: [StrgSync.exe] C:\Program Files\StorageSync\StrgSync.exe -w

O4 - Startup: Outpost Firewall.lnk = C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\msgrapp.8.1.0178.00.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\msgrapp.8.1.0178.00.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\Skype4COM.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: CaCCProvSP - CA, Inc. - C:\Archivos de programa\CA\CA Internet Security Suite\ccprovsp.exe

O23 - Service: CacheBoost Performance Optimizer and Tuner Service (CacheBoost Service) - Systweak India - C:\Archivos de programa\CacheBoost\cbsrv.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: M-Audio Series II MIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Archivos de programa\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe (file missing)

O23 - Service: McciCMService - Motive Communications, Inc. - C:\Archivos de programa\Archivos comunes\Motive\McciCMService.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: PACSPTISVR - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: PPCtlPriv - CA, Inc. - C:\Archivos de programa\CA\CA Internet Security Suite\CA Anti-Spyware\PPCtlPriv.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

[Juan_Franco]

Dandome mucha mania (ya decia mi padre "mas vale mania que fuerza") encontre la solucion.



Gracias al [b]SDFix[/b].



Lo corri bajo "modo a prueba de fallos" y este es el reporte.



catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-03 11:37:54

Windows 5.1.2600 Service Pack 2 NTFS



scanning hidden processes ...



scanning hidden services & system hive ...



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:869008cf

"s2"=dword:4dbe6eb5

"h0"=dword:00000001



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:7a,75,0e,5f,cc,b8,c2,90,49,53,ad,f9,9c,06,a8,02,db,be,a3,c6,76,..

"p0"="C:\Archivos de programa\DAEMON Tools\"



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"khjeh"=hex:26,65,05,5f,69,66,a4,2d,94,60,da,7d,b6,28,bd,23,ba,6a,3c,28,e5,..

"a0"=hex:20,01,00,00,94,6d,41,21,55,c3,3a,d7,f4,82,a4,a0,68,a1,30,97,7a,..



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:6e,49,7f,4d,36,4c,21,e6,43,48,03,ac,38,54,ca,e8,69,64,dd,df,ce,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:7a,75,0e,5f,cc,b8,c2,90,49,53,ad,f9,9c,06,a8,02,db,be,a3,c6,76,..

"p0"="C:\Archivos de programa\DAEMON Tools\"



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"khjeh"=hex:26,65,05,5f,69,66,a4,2d,94,60,da,7d,b6,28,bd,23,ba,6a,3c,28,e5,..

"a0"=hex:20,01,00,00,94,6d,41,21,55,c3,3a,d7,f4,82,a4,a0,68,a1,30,97,7a,..



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:6e,49,7f,4d,36,4c,21,e6,43,48,03,ac,38,54,ca,e8,69,64,dd,df,ce,..



scanning hidden registry entries ...



source file error: C:\Documents and Settings\Administrador\ntuser.dat

scanning hidden files ...



scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0





[b]Remaining Services [/b]:









Authorized Application Key Export:



[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"="C:\\Archivos de programa\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Archivos de programa\\Agnitum\\Outpost Firewall\\outpost.exe"="C:\\Archivos de programa\\Agnitum\\Outpost Firewall\\outpost.exe:*:Enabled:Outpost Firewall main module"

"C:\\Archivos de programa\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Archivos de programa\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\\Archivos de programa\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Archivos de programa\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\\Archivos de programa\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Archivos de programa\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"="C:\\Archivos de programa\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Archivos de programa\\MSN Messenger\\msncall.exe"="C:\\Archivos de programa\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"="C:\\Archivos de programa\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Archivos de programa\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Archivos de programa\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\\Archivos de programa\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Archivos de programa\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\\Archivos de programa\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Archivos de programa\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"



[b]Remaining Files [/b]:





File Backups: - C:\SDFIX\SDFix\backups\backups.zip



[b]Files with Hidden Attributes [/b]:



Sat 30 Jun 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"



[b]Finished![/b]



Y ahora el firefox y todas las conexiones se hacen normalmente y no mas en loopback a traves de SVCHOST.

[Claudia34]

Te falta el service pack 3, realiza un windows update.



Saludos.

[msc hotline sat]

Pues aparte de lo indicado por Claudia, como que el autor del Tema ya lo ha dado por solucionado, procedemos a cerrar el Tema



saludos



ms, 3-09-2008