NSIS ERROR (TROYANO) :S (SOLUCIONADO)

[chizo249]

hola mi nombre es rodrigo y tengo un problema... cada vez que quiero instalar un programa me salta un texto en ingles que dice que es una copia o el instalador tiene un virus... dps cuando reinicio la pc este virus me borra todos los programas con terminacion .exe.. aca les dejo mis logs si me pudieran ayudar gracias..



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:58:14, on 28/01/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\PSIService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\PixArt\PAC207\Monitor.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\notepad.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1854633

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:9100/proxy.pac

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

R3 - URLSearchHook: shARES Toolbar - {9c905b42-976e-43c1-bc30-fc5937017909} - C:\Archivos de programa\shARES\tbshAR.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: shARES Toolbar - {9c905b42-976e-43c1-bc30-fc5937017909} - C:\Archivos de programa\shARES\tbshAR.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O2 - BHO: Yontoo Layers - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Archivos de programa\Yontoo Layers Client for Internet Explorer\YontooIEClient.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: shARES Toolbar - {9c905b42-976e-43c1-bc30-fc5937017909} - C:\Archivos de programa\shARES\tbshAR.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe

O4 - HKLM\..\Run: [BearFlix] "C:\Archivos de programa\BearFlix\BearFlix.exe" /pause

O4 - HKLM\..\Run: [RelevantKnowledge] C:\Archivos de programa\RelevantKnowledge\rlvknlg.exe -boot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Runonce] C:\WINDOWS\system32\runouce.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares destiny] "C:\Archivos de programa\Ares Destiny\AresDestiny.exe" -h

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\ccleaner.exe" /AUTO

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220049659761

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220049787729

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O20 - Winlogon Notify: RelevantKnowledge - C:\Archivos de programa\RelevantKnowledge\rlls.dll (file missing)

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe



--

End of file - 9563 bytes

[msc hotline sat]

De entrada, te faltan parches:



Platform: Windows XP SP2 (WinNT 5.01.2600)



Lanzar un windowsupdate e instalar el SP3 y posteriores dríticos, como el MS08-067 y MS08-078









y elimina esta clave:



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= ... =CT1854633





Aparte hay estos ficheros sospechosos, envianoslos para analizar:



C:\Archivos de programa\Yontoo Layers Client for Internet Explorer\YontooIEClient.dll



C:\Archivos de programa\shARES\tbshAR.dll



C:\Archivos de programa\Ares Destiny\AresDestiny.exe







y estos otros son troyanos conocidos, quizas variantes si no te los ha detectado tu antivirus:



añadeles al final la extension .VIR y tambien nos los envias para analizar:



C:\WINDOWS\PixArt\PAC207\Monitor.exe



C:\Archivos de programa\BearFlix\BearFlix.exe



C:\Archivos de programa\RelevantKnowledge\rlvknlg.exe



C:\WINDOWS\system32\runouce.exe





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-1-2009

[msc hotline sat]

Recibidas las muestras, aunque no nos enviaste el RUNOUCE.EXE que te pediamos, sino un RUNONCE.EXE, que no tiene nada que ver. claro !



De todas formas se nos ha generado al ejecutar el RLSERVICE, y gracias a ello hemos podido monitorizarlo



No es un simple troyano, sino un virus infector ... Se propaga por la red, envia mails y modifica ficheros ejecutables que encuientra, toda una joya !!!



Lógicamente esto los antivirus deberían limpiar los ficheros, eliminar el gusano y restaurar las claves, pues al ser un virus infector, los ficheros modificados no deben eliminarse sino limpiarse, de lo contrario se perderían...



Vamos a informanos sobre los antivirus que lo controlan, para obrar en consecuencia segun veamos



saludos



ms, 29-1-2009

[msc hotline sat]

Practicamente todos los antivirus, hasta el AVAST que tiene Vd, lo controlan ! :


[quote="VirusTotal"]


File rlservice.exe received on 01.29.2009 09:31:11 (CET)

Current status: finished



Result: 38/39 (97.44%)

Compact Print results

Antivirus Version Last Update Result

a-squared 4.0.0.93 2009.01.29 Email-Worm.Win32.Runouce.B!IK

AhnLab-V3 5.0.0.2 2009.01.29 Win32/ChiHack.6652

AntiVir 7.9.0.60 2009.01.29 W32/Chir.B

Authentium 5.1.0.4 2009.01.28 W32/Thecid.B@mm

Avast 4.8.1281.0 2009.01.28 Win32:Runonce

AVG 8.0.0.229 2009.01.28 I-Worm/Sober

BitDefender 7.2 2009.01.29 Win32.Runouce.B@mm

CAT-QuickHeal 10.00 2009.01.29 W32.Runouce

ClamAV 0.94.1 2009.01.29 Worm.Runouce.b

Comodo 951 2009.01.28 Worm.Win32.Chir.B

DrWeb 4.44.0.09170 2009.01.29 Win32.Runonce.6652

eSafe 7.0.17.0 2009.01.28 Win32.Runouce

eTrust-Vet 31.6.6333 2009.01.29 Win32/Chir.B

F-Prot 4.4.4.56 2009.01.28 W32/Thecid.B@mm

F-Secure 8.0.14470.0 2009.01.29 Email-Worm.Win32.Runouce.b

Fortinet 3.117.0.0 2009.01.29 Adware/OSS

GData 19 2009.01.29 Win32.Runouce.B@mm

Ikarus T3.1.1.45.0 2009.01.29 Email-Worm.Win32.Runouce.B

K7AntiVirus 7.10.608 2009.01.28 Email-Worm.Win32.Runouce.b

Kaspersky 7.0.0.125 2009.01.29 Email-Worm.Win32.Runouce.b

McAfee 5509 2009.01.28 W32/Chir.b@MM

McAfee+Artemis 5509 2009.01.28 W32/Chir.b@MM

Microsoft 1.4205 2009.01.29 Virus:Win32/Chir.B@mm

NOD32 3809 2009.01.29 Win32/Chir.B

Norman 6.00.02 2009.01.28 W32/Chir.C

nProtect 2009.1.8.0 2009.01.29 Win32.Runouce.B@mm

Panda 9.5.1.2 2009.01.28 W32/Chir.B

PCTools 4.4.2.0 2009.01.28 JS.Chir.B

Prevx1 V2 2009.01.29 -

Rising 21.13.42.00 2009.01.23 Worm.ChineseHacker-2

SecureWeb-Gateway 6.7.6 2009.01.29 Win32.Chir.B

Sophos 4.38.0 2009.01.29 W32/Chir-B

Sunbelt 3.2.1835.2 2009.01.16 Win32.chir.b (v)

Symantec 10 2009.01.29 W32.Chir.B@mm

TheHacker 6.3.1.5.231 2009.01.29 W32/Chir.b.dannado

TrendMicro 8.700.0.1004 2009.01.29 PE_Chir.B

VBA32 3.12.8.11 2009.01.29 Virus.Win32.Runouce

ViRobot 2009.1.29.1580 2009.01.29 Win32.Chir.B

VirusBuster 4.5.11.0 2009.01.28 I-Worm.Chir.B

Additional information

Tamano archivo: 51708 bytes

MD5...: 7612ca6499eadb1dcfd3f28211b86448 [/quote]

No vale la pena investigar mas, simplemente arranque en modo seguro, desactive la restauracion de sistema, y lance su antivirus que deberá poder limpiar los ficheros infectados y demás.





Comentenos el resultado, gracias.



saludos



ms, 29-1-2009

[chizo249]

pase el avg y elimine todo lo infectado... y despues hice un segundo scan y no encontro ningun gusano por ahora esta libre de virus gracias

[msc hotline sat]

A la vista del informe de VirusTotal es lo que cabia esperar..., gracias por decirnoslo.





Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 30-1-2009