El ordenador ha comenzo a ir un pco demasiado lento ayer por la noche , no le di la mayor importancia , pues era " a ratos" ...hoy me he decidido a investigar.
Veo algun archivo que no me cuadra.... un tal "adobemgr.exe" que al final creo es el problema...
Hago un analisis con a-squared hijackfree y me encuentra lo siguiente:
Proceso: csrss.exe id:248 INFO:THREADS:9 Prioridad:NORMAL Visible:NO
BUENO:1 MALO:1 (Se supone hay una copia vete tu a saber)
Requiere Atención!Compare los detalles con sus valores locales.
Que hago?Como lo encuentro?Es una falsa alarma?
Le paso el Spybot y me encuentra:
Isearchteach.ysb
Advertising.com
Netsys(clsid)
Los elimina sin problemas.
Le paso el adaware y mientras esta analizando me salta el NOD32 avisando de los siguientes , que no puede ni borrar, ni poner en cuarentena , ni nada:
Nod32 Virus Infected :2
Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \javainstaller.jar-3c936701-2af5ba7d.zip/javainstaller/InstallerApplet.class Infected: Trojan-Downloader.Java.OpenStream.w
Tengo que cerrar el nod32, acaba el analisis del lavasoft y no encuentra nada .
Extrañado, le paso el nod32 con heuristica avanzada.Lo mismo.lo encuentra pero nada que hacer.(Mi confianza en Nod32 esta cayendo por momentos, porque no me ha avisado nunca?)
Le paso el Kaspersky on-line y encuentra esto y uno mas:
1-Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \javainstaller.jar-3c936701-2af5ba7d.zip/javainstaller/InstallerApplet.class Infected: Trojan-Downloader.Java.OpenStream.w
2-Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \javainstaller.jar-3c936701-2af5ba7d.zip Infected: Trojan-Downloader.Java.OpenStream.w
3-Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \javainstaller.jar-5aa0b436-2a72531f.zip/javainstaller/InstallerApplet.class Infected: Trojan-Downloader.Java.OpenStream.w
4-Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \javainstaller.jar-5aa0b436-2a72531f.zip Infected: Trojan-Downloader.Java.OpenStream.w
Me dirijo a mirar y en la misma carpeta hay infinidad de comprimidad y applet class con lo que no toco nada por si es del Java.Que hago lo borro todo ?Solo las infectadas?
5-WINNT\system32\adobemgr.exe Infected: Trojan-Clicker.Win32.VB.jy
Busco información de este en la red y pone que es muy reciente , tanto que es del 28 de Noviembre....Lo elimino de la dirección a la de ya!
Le paso el Hijackthis y aqui les dejo el log , dandoles las gracias anticipadas y esperando alguna recomendación provechosa.
Ah, me gustaria indicar que yo era usuario de Kaspersky con quien no me entro nunca nada...me decidi a probar a pesar de todo el Nod32 por que se comentaba era igual de bueno pero mas rapido.Y hasta ahora mismo en que todavio me pregunto, como Kaspesky ya lo tiene en su lista y el NOd32 cree que es nuestro amigo....
Ahi va el log:
Logfile of HijackThis v1.99.1
Scan saved at 22:46:12, on 01/12/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
C:\Archivos de programa\Bluetooth\Software Bluetooth\bin\btwdins.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\sdpasvc.exe
C:\WINNT\system32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Bluetooth\Software Bluetooth\BTTray.exe
C:\Archivos de programa\Pando Networks\Pando\pando.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = nscbest1.rs1.nuria.telefonica-data.net:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [FSWebServer] C:\Archivos de programa\Raxokeus\Easy File Sharing Web Server\fsws.exe
O4 - HKCU\..\Run: [PopMessenger] C:\Archivos de programa\Raxokeus\PopMessenger\PopMessenger.exe
O4 - HKCU\..\Run: [Stickies] C:\Archivos de programa\Stickies\Stickies.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: No-IP DUC.lnk = C:\Archivos de programa\No-IP\DUC20.exe
O4 - Global Startup: BTTray.lnk = C:\Archivos de programa\Bluetooth\Software Bluetooth\BTTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Descarregar fent servir FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Descarregar TOT amb FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Bluetooth\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Bluetooth\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Bluetooth\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B86BA09-6B69-4082-886B-3B9153CC53AD}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6A78184-1A98-4267-AAC0-3911E9A2F867}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{9B86BA09-6B69-4082-886B-3B9153CC53AD}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{9B86BA09-6B69-4082-886B-3B9153CC53AD}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINNT\system32\btxppanel.dll
O20 - Winlogon Notify: ActiveSync - C:\WINNT\SYSTEM32\WcesWlgn.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Archivos de programa\Bluetooth\Software Bluetooth\bin\btwdins.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Easy File Sharing Web Service - EFS Software, Inc. - c:\Archivos de programa\Easy File Sharing Web Server\fswsService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: SDPAUMS server service (SDPASVC) - Matsushita Electric Industrial Co.,Ltd. - C:\WINNT\system32\sdpasvc.exe
Un saludo.
msc hotline sat Virus Research Engineer