No se que le pasa. Ayuda. Adjunto archivo del hijackthis

juanandresgv · Mensaje por **juanandresgv** » 25 May 2005, 19:17

Pues eso que me he vuelto loco, y viendo algunos temas os adjunto el log que me sale.

Logfile of HijackThis v1.99.1

Scan saved at 19:16:00, on 25/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\winnook.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Documents and Settings\andres\Escritorio\hijackthis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

Una ayuda por favor. no se lo que hacer

Mensaje por **maura63** » 25 May 2005, 19:45

Pues para volverse loco.

No tienes instalado ni el SP1 del XP e IE

Conecta via windows update y actualiza que por cierto te llevara un buen rato

Logfile of HijackThis v1.99.1

Scan saved at 19:16:00, on 25/05/2005

Platform:[color=red] Windows XP[/color] (WinNT 5.01.2600)

MSIE: [color=red]Internet Explorer v6.00 [/color](6.00.2600.0000)

Saludos

maura63

Mensaje por **maura63** » 25 May 2005, 19:47

Pues ojo que tienes esto

C:\WINDOWS\System32\winnook.exe

O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe

Al parecer han enviado muestras a zonavirus para su analisis y creacion de utilidad.

Saludos

maura63

Mensaje por **msc hotline sat** » 25 May 2005, 20:03

Mientras recibimos las muestras en cuestion y se analizan, elimina esta clave:

O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\System32\winnook.exe

y tras reiniciar pon este fichero en cuarentena,

C:\WINDOWS\System32\winnook.exe

y si quieres envianoslo tambien a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y veremos que se trate del mismo, que como posible, se puede tratar de un malware todavía no controlado que realice ests acciones:

[quote="sandbox"]
Report created: 25.05.2005 05:04:57

Automatic Sandbox analysis of unknown malware (NO_VIRUS)

[ General information ]

* Creating several executable files on hard-drive.

* File length: 36864 bytes.

[ Changes to filesystem ]

* Creates file C:\WINDOWS\SYSTEM\winnook.exe.

* Creates file C:\WINDOWS\desktop.html.

[ Changes to registry ]

* Creates key "HKLM\Software\AntivirusGold".

* Creates value "Intel system tool"="C:\WINDOWS\SYSTEM\winnook.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

[ Process/window information ]

* Will automatically restart after boot (I'll be back...).

* Attempts to open CLSID {75048700-EF1F-11D0-9888-006097DEACF9}.

[/quote]

Analizaremos la muestra y desarrollaremos la utilidad para restaurar claves, detener procesos y eliminar fichero automaticamente, si es el caso

saludos

ms, 25-05-2005

Mensaje por **msc hotline sat** » 26 May 2005, 17:44

Gracias a la muestra enviada, hemos podido desarrollar la nueva version de la utilidad ELISTARA, que ya controla dicho bicho

---v8.1---(26 de Mayo del 2005) (Muestras de Puper "HPxxxx.TMP" y Danger "WINNOOK.EXE")

saludos

ms, 26-05-2006