Windows XP prof. con SP2.
1- Instalo Codepack de elisoft, y las cosas van mal. Hago una restauración.
2- Reisntalando el codepack, The Cleaner me detecta un troyano que borra (o al menos eso parece) inmediatamente.
3- Al reiniciar Ad-Wacht SE me detecta: Modificación de registro detectado.
Raiz:HKEY_LOCAL_MACHINE
Llave:Software\Micorsoft\Windows\CurrentVersionªRun
Valor:UserFaultCheck
Dato:
Nuevo Dato:%systemroot%\system32\dumprep 0 -u
Una de las veces le di a aceptar y el Spydoctor me detectó:
Slotchbar
Altnet Software
Pero estó quedó desinfectado y no ha vuelto a surgir. Si lo del dumprep.
4- Detecto que algo ha desecho al Norton 2004. No hay liveupdate, ni protección para el correo, ni auto-protect. Al pasar el escaneo total después de actualizar manualmente, dice:
El archivo comprimido WinAdToolsX.dll incluido en C:\Documents and Settings\TheCube.K7-3000\Configuración local\Archivos temporales de Internet\Content.IE5\B2W33DWX\bridge-c284[1].cab es una amenaza Publicidad no deseada.
El archivo comprimido WinAdToolsX.dll incluido en C:\Documents and Settings\TheCube.K7-3000\Configuración local\Archivos temporales de Internet\Content.IE5\YDKZA9ET\bridge-c11[1].cab es una amenaza Publicidad no deseada.
Además tenía el AdwareIstbar que pude eliminar con el TrojanHunter.
Además Emule de forma fullminante, me da Id baja, constantemente. Cuando rulaba perfectamente.
5- Intento pasar Online, Panda, McAfee, Pest, pero es imposible no hay manera. Después de un rato explorer debe cerrarse.
Rav online si va y me dice que tengo:
Scanning files...
C:\Documents and Settings\TheCube.K7-3000\Datos de programa\Thunderbird\Profiles\default\ekpwox9i.slt\Mail\mailhost.teleline-1.es\Junk->(part0019:link.voicemessage.com.listen.index.php1Ab2c.pif) - Win32/Zafi.B@mm -> Infected
C:\Documents and Settings\TheCube.K7-3000\Datos de programa\Thunderbird\Profiles\default\ekpwox9i.slt\Mail\pop3.airtel.net\Inbox->(part0340:your_document.pif) - Win32/Netsky.D@mm -> Infected
Los elimina, pero no dice nada de Winadtoolsx.dll.
De estos dos el Norton no decía ni mu.
6- Desinstalo Norton 2004. Ya no aprece dumprep 0 -u. Instalo Norton 2005, vuelve a aparecer dumprep 0 -u.
Además Sygate Firewall me detecta que msmsgs.exe ha cambiado desde la última vez e intenta conectarse a 10.0.0.2 que es la dirección del servidor virtual de Ovislink, mi router. Lo bloqueo pero vuelve a cambiar una y otra vez, cambiando su valor hexadecimal e intentando concectarse cada vez a través de un puerto distinto. Es un latazo.
7- Intento reconsiderear lo del emule y compruebo que tengo:
"Error 1068: No se puede iniciar el servicio o grupo de dependencia", con lo que tengo imposible activar o configurar el firewall de windows.
8- En otro escaneo Norton vuelve a detectar el AdwareIstbar además de los otros dos. Lo vuelvo a eliminar con el Hunter. Pero del AdwareSyncroad nada. No puede ser. Siguen ahí.
El Rav online sigue sin detectarlo.
He pasado Ad-Aware SE, The Cleaner, Trojan Hunter, Trojan Remover, Spy Doctor, Cwshredder, Spy Bot, Pest Patrol, Hijackthis. Los he pasado y eliminado en modo seguro, y nada.
Os dejo el Startup del Hijackthis:
StartupList report, 15/11/2004, 11:21:55
StartupList version: 1.52.2
Started from : C:\Documents and Settings\TheCube.K7-3000\Escritorio\Solución\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\The Cleaner\tca.exe
C:\Archivos de programa\The Cleaner\tcm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\PESTPA~1\PPControl.exe
C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe
C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
C:\Archivos de programa\Spyware Doctor\spydoctor.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\thunderbird\thunderbird.exe
E:\Todo Pc\Emule\eMule0.44bPawcio5.15\emule.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\ARCHIV~1\NORTON~1\navw32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\TheCube.K7-3000\Escritorio\Solución\HijackThis.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\NOTEPAD.EXE
--------------------------------------------------
Listing of startup folders:
Shell folders Startup:
[C:\Documents and Settings\TheCube.K7-3000\Menú Inicio\Programas\Inicio]
Diskeeper 9 Professional Edition Registration.lnk = C:\Archivos de programa\Executive Software\Diskeeper\ESIRegister.exe
Shell folders Common Startup:
[C:\Documents and Settings\All Users.WINDOWS\Menú Inicio\Programas\Inicio]
Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
tcactive = C:\Archivos de programa\The Cleaner\tca.exe
tcmonitor = C:\Archivos de programa\The Cleaner\tcm.exe
SoundMan = SOUNDMAN.EXE
RivaTunerStartupDaemon = "C:\Archivos de programa\RivaTuner\RivaTuner.exe" /S
EPSON Stylus C42 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe
DiskeeperSystray = "C:\Archivos de programa\Executive Software\Diskeeper\DkIcon.exe"
AWMON = "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
THGuard = "C:\Archivos de programa\TrojanHunter 4.0\THGuard.exe"
TrojanScanner = C:\Archivos de programa\Trojan Remover\Trjscan.exe
ccApp = "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
Symantec NetDriver Monitor = C:\ARCHIV~1\SYMNET~1\SNDMon.exe
SmcService = C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
PestPatrol Control Center = C:\ARCHIV~1\PESTPA~1\PPControl.exe
PPMemCheck = C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe
CookiePatrol = C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
Spyware Doctor = "C:\Archivos de programa\Spyware Doctor\spydoctor.exe" /Q
--------------------------------------------------
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll - {AE7CD045-E861-484f-8273-0445EE161910}
NAV Helper - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}
--------------------------------------------------
Enumerating Task Scheduler jobs:
Norton AntiVirus - Analizar el equipo - Bisoke.job
Symantec NetDetect.job
--------------------------------------------------
Enumerating Download Program Files:
[ppctlcab]
CODEBASE =
OSD = C:\WINDOWS\Downloaded Program Files\OSD406.OSD
[PPSDKActiveXScanner.MainScreen]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\PPSDKActiveXScanner.ocx
CODEBASE =
[ActiveScan Installer Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll
CODEBASE =
[CRAVOnline Object]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\ravonline.dll
CODEBASE =
[{D27CDB6E-0000-0000-0000-000000000000}]
CODEBASE =
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE =
[McFreeScan Class]
InProcServer32 = C:\WINDOWS\McAfee.com\FreeScan\mcfscan.dll
CODEBASE =
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
--------------------------------------------------
End of report, 8.126 bytes
Report generated in 0,344 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
-----El Log del hijackthis:
Logfile of HijackThis v1.98.2
Scan saved at 11:20:58, on 15/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\The Cleaner\tca.exe
C:\Archivos de programa\The Cleaner\tcm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\ARCHIV~1\PESTPA~1\PPControl.exe
C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe
C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
C:\Archivos de programa\Spyware Doctor\spydoctor.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\thunderbird\thunderbird.exe
E:\Todo Pc\Emule\eMule0.44bPawcio5.15\emule.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\ARCHIV~1\NORTON~1\navw32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\TheCube.K7-3000\Escritorio\Solución\HijackThis.exe
C:\Archivos de programa\Messenger\msmsgs.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Archivos de programa\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Archivos de programa\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\ARCHIV~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\ARCHIV~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\ARCHIV~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\spydoctor.exe" /Q
O4 - Startup: Diskeeper 9 Professional Edition Registration.lnk = C:\Archivos de programa\Executive Software\Diskeeper\ESIRegister.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\ARCHIV~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\ARCHIV~1\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: ppctlcab -
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) -
Hay solución para el AdwareSyncroAd?.
Hay solución para el error 1068?.
He pensado en reinstalar el sp2 machacando, ¿se puede hacer eso?.
Perdonad por el rollo y muchas gracias por vuestra ayuda.
.