Creo que tengo virus, mi log

[Doctor_ar]

Hola



Mi PC anda mal, si bien paso el nod 32, el spayboot y el adware, no me detectan nada, pero he dejado de usar el IE explorer porque se me abrían como 100 ventanas.



Estoy con el mozila, pero cada tanto veo que en los programas residentes (administrador de tareas) hay como 5 Iexplorer ocupando memoria.



Tengo Xp servipack 2.



Si alguno me puede orientar se los agradeceré.



Mi log:



==========



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:58:50 a.m., on 12/01/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS.0\System32\smss.exe

C:\WINDOWS.0\system32\winlogon.exe

C:\WINDOWS.0\system32\services.exe

C:\WINDOWS.0\system32\lsass.exe

C:\WINDOWS.0\system32\Ati2evxx.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\WINDOWS.0\system32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS.0\system32\Ati2evxx.exe

C:\WINDOWS.0\Explorer.EXE

C:\WINDOWS.0\system32\spoolsv.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS.0\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS.0\system32\netdde.exe

C:\WINDOWS.0\system32\acs.exe

C:\AppServ\Apache\Apache.exe

C:\AppServ\mysql\bin\mysqld-nt.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS.0\system32\PnkBstrA.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS.0\system32\svchost.exe

C:\AppServ\Apache\Apache.exe

C:\Documents and Settings\Administrador.DESKTOP\Escritorio\TMTMTSR.exe

C:\WINDOWS.0\system32\PnkBstrB.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bsplayer-search.com/startpage

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Skype Control Class - {9018F6A8-2495-45DF-9F16-C738F8F3C8FF} - C:\WINDOWS.0\system32\SkypeComm.dll

O3 - Toolbar: BS.Player ControlBar - {2C688203-7EB3-4327-9995-1CB417BA23F9} - C:\Archivos de programa\BS.Player ControlBar\BSToolbar.dll

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.0\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [tspcm] C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe

O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS.0\inf\unregmp2.exe /Fixups

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: &Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: &Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar TODO con FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar usando FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nwprovau.dll

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{58981841-67D9-4420-82A7-F756B6052121}: NameServer = 200.63.155.211 200.63.155.83

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS.0\system32\acs.exe

O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner - C:\WINDOWS.0\system32\drivers\KodakCCS.exe (file missing)

O23 - Service: MySQL - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS.0\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS.0\system32\PnkBstrB.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O24 - Desktop Component 0: (no name) - http://i29.tinypic.com/25ouxci.jpg



--

End of file - 7704 bytes



=====



Gracias a todos :D

[msc hotline sat]

Pues si bien nuestras utilidades se basan en las claves del I.E., y no damos soporte al mozilla, pruebe el ELISTARA que igual detecta y corrige alguna anomalia:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Aparte de entrada vemos que le faltan parches,



Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Debe lanzar un windowsupdate e instalar el SP3 y demas críticos posteriores , como el MS08-067 y MS08-078



y envienos este fichero sospechoso para analizar:



c:\windows\system32\syssetup.dll



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 12-1-2009

[Doctor_ar]

Gracias por la pronta respuesta.


[quote]c:\windows\system32\syssetup.dll[/quote]

Este archivo no está, ya que yo instalé un windows que me lo creó en la carpeta windows.0, así que esa carpeta está vacia, solo contiene la carpeta tmp. (tengo activado ver archivos ocultos).



Pego a continuación el archivo del elistara:



====

Mon Jan 12 09:34:19 2009

EliStartPage v17.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 12 09:35:25 2009

EliStartPage v17.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 9 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\PowerQuest\Drive Image 2002\DIRUN32.EXE --> Eliminado, CyDoor

C:\Archivos de programa\AvRack\CLASSIC.DLL --> Eliminado, FraudTool.Agent.D

C:\Archivos de programa\Rapidown\RAPIDOWN.EXE --> Eliminado, Slurk(dll)

C:\Archivos de programa\AskBarDis\bar\bin\ASKPOPSTP.DLL --> Eliminado, MyWebSearch

C:\Archivos de programa\DNA\plugins\NPBTDNA.DLL --> Eliminado, 123Mania

C:\Downloads\ARCA_UPDATERV1.EXE --> Eliminado, DownLoader.BShooterEgypt

C:\System Volume Information\_restore{D4556671-4287-48F9-9114-BC5FBF3C2BC4}\RP3\A0001152.DLL --> Eliminado, FraudTool.Agent.D

C:\System Volume Information\_restore{DEC8017C-E733-4126-9A38-C9A62D17B13F}\RP9\A0001720.DLL --> Eliminado, FraudTool.Agent.D

C:\System Volume Information\_restore{ECEDD104-EC3B-42F9-A88C-0081055B7AF9}\RP3\A0000778.DLL --> Eliminado, FraudTool.Agent.D

C:\System Volume Information\_restore{ECEDD104-EC3B-42F9-A88C-0081055B7AF9}\RP4\A0000898.DLL --> Eliminado, Spy.Banker.FJB

C:\WINDOWS.1\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

C:\WINDOWS.1\system32\drivers\SPTD.SYS --> Eliminado, RootKit(SPTD)

C:\WINDOWS.0\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Nº Total de Directorios: 14511

Nº Total de Ficheros: 196197

Nº de Ficheros Analizados: 36927

Nº de Ficheros Infectados: 13

Nº de Ficheros Limpiados: 13



=====



Nuevamente muy amables, y ya me pongo a instala rel servipack 3. :D

[lucl]

Y dinos si se soluciono ya lo de tu pc saludos

[Doctor_ar]

Aparentemente esta todo normal, no se si debo correr otra vez el log del HijackThis??



Sino lo damos por solucionado, si ocurre algo más los molesto de nuevo.



Muchas gracias :D

[msc hotline sat]

No, por lo que dices podemos darlos por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 12-1-2009