Podeis echarle un ojo? Gracias (SOLUCIONADO)

[BigKahuna]

Logfile of HijackThis v1.99.1

Scan saved at 15:16:45, on 04.12.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Sygate\SPF\smc.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Programme\Winamp\winampa.exe

C:\Programme\Babylon\Babylon.exe

C:\Programme\Java\jre1.5.0_05\bin\jusched.exe

C:\Programme\Eset\nod32kui.exe

C:\Programme\Skype\Phone\Skype.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Programme\Google\Gmail Notifier\gnotify.exe

C:\WINDOWS\System32\DVDRAMSV.exe

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

C:\Programme\Eset\nod32krn.exe

C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Trillian\trillian.exe

C:\PROGRA~1\MOZILLA FIREFOX\FIREFOX.EXE

C:\Programme\eDonkey2000\edonkey2000.exe

C:\Programme\Far\Far.exe

C:\HijackThis\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [YAAC] C:\Programme\Tools&More\YAAC\YAAC.exe /AUTOSTART

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: Gmail Notifier.lnk = C:\Programme\Google\Gmail Notifier\gnotify.exe

O4 - Global Startup: Microsoft Office.lnk = F:\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132948597921

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132779242984

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4635/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E847B243-30C0-4CF9-B8DD-98A0836E74AA}: NameServer = 212.7.148.65 212.7.148.97

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: FolderGuard - F:\Folder Guard\FGuard32.dll

O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll

O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WindowBlinds\fastload.dll

O21 - SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - C:\Programme\Stardock\Object Desktop\IconPackager\iprepair.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Crypkey License - Unknown owner - crypserv.exe (file missing)

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[maura63]

Conoces esto



C:\Programme\Far\Far.exe



O20 - Winlogon Notify: FolderGuard - F:\Folder Guard\FGuard32.dll

O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll

O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WindowBlinds\fastload.dll

O21 - SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - C:\Programme\Stardock\Object Desktop\IconPackager\iprepair.dll





Innecesaria, elimina



O23 - Service: Crypkey License - Unknown owner - crypserv.exe (file missing)





Saludos

maura63

[msc hotline sat]

Prueba tambien lanzar el ELISTARA y nos dices lo que encuentra y si pide alguna muestra...





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







saludos



ms, 4-12-2005



NOTA: Y si nos indicas la anomalía que detectas, podemos ir mas al grano ... ms.

[BigKahuna]

Si, conosco las entradas q nombraste, la innecesaria la elimine, muchas gracias.

Pase el elistarA y me detecto cositas, y eso q pase hoy en modo a prueba de fallos y todo actualizado el antivirus, ad-aware, s&d y no detecto nada.

Me detecto al inicio (antes del escaneo profundo) :

Por favor, envienos una muestra del fichero

C:\DOKUME~1\SCHNECKE\LOKALE~1\TEMP\NDNUNINSTALL5_40.EXE.Muestra EliStartPage v10.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\NDNUNINSTALL5_40.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOKUME~1\SCHNECKE\LOKALE~1\TEMP\NDNUNINSTALL5_48.EXE.Muestra EliStartPage v10.70

a "virus@satinfo.es". Gracias.

C:\WINDOWS\NDNUNINSTALL5_48.EXE --> Eliminado



Y un troyano: NewDotNet, tb lo elimino





Y en el esaneo profundo detecto:



C:\PROGRAMME\SPYWAREBLASTER\SBAUTOUPDATE.EXE --> Eliminado, WinAd (Dropper)



Q pasada, ya no se q pensar, despues de pasar a fondo todos lo programas actualizaos a fondo no detectarme nada y ahora pasar esto y pillarme cosas, me deja dudando de la eficacia de algunos programas....



Les mando muestras de lo q me pillo el elistarA?



Gracias

[BigKahuna]

Por cierto, ahora tengo el Nod32 como antivirus y el Sygate Pro como firewall

[BigKahuna]

Perdon, es muy tarde y me acuerdo de las cosas por fases ....



O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll

O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WindowBlinds\fastload.dll



Estas entradas que citaron en el post, se de q programas son, son de diseöo de desktops y antes esas dos librerias m

me las detectaba el elistarA y me decia q enviara pruebas, lo hice y ahora no me las detecta el elistarA porq resultaron ser inofensivas en el analisis de los tecnicos.

[msc hotline sat]

Piensa que cada día aparecen de promedio 50 nuevas variantes de malwares, asi que es normal que vayas detectando nuevas cosas...



Para ello el ELISTARA lo renovamos a diario !



Y como has podido ver, tambien mejoramos y eliminamos las falsas alarmas :lol:



Con todo lo que has hecho, dinos si ahora persiste algun problema y cual, gracias



saludos



ms, 5-12-2005

[BigKahuna]

Saludos.

He pasado la nueva version del elistarA y me detecto otro troyano...,



Por favor, envienos una muestra del fichero

C:\DOKUME~1\SCHNECKE\LOKALE~1\TEMP\SPORDER.DLL.Muestra EliStartPage v10.71

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SPORDER.DLL --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



No se como me entran las cosas si estoy mas q protegido, y para y tb he pasado el elitriip y me detecto un gusano y me dijo q:



C:\WINDOWS\README.TXT --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



y lo he comprobado en windows update y no tengo actualizaciones pendientes, las tengo todas.



La verdad q esto me agobia mucho, quiero comprarme una licencia de un buen antivirus, anty spy ware, lo q necesite, pero no se cual porq hay tantos y dan opiniones variadas de todos, q usais vosotros? vuestra opinion tiene mas peso por ser profecionales del tema (sin menospreciar a nadie) Tb me han dicho de antivirus q consumen muchisimos recursos, y no tengo mucho pc (1800 amd, 1gb ram)



Gracias, un saludo

[msc hotline sat]

Empiece por enviarnos la muestra solicitada por el ELISTARA, para que puedsa ser analizada e implementado su control o mejora en la proxima version de mañana, 10.72


[quote="ELISTARA v 10.71"]Por favor, envienos una muestra del fichero

C:\DOKUME~1\SCHNECKE\LOKALE~1\TEMP\SPORDER.DLL.Muestra EliStartPage v10.71

a "virus@satinfo.es". Gracias.[/quote]

Sobre el estar protegido, cada día aparecen de promedio unas 50 nievas bvariantes de malwares, por lo que los antivirus, y herramioentas son actualizadas a diario, pero siempre ha de haber el que pague el pato, y a traves de procedimientos heuristicos detectar sispechosos y pedir muestra para su analisis, como ha hecho el ELISTARA



Sobre el antivirus que nosotros utilizamos, moderadores y administradores del foro, es el McAfee Enterprise, como tambien esta web, por ser el de mas experiencia y uso a nivel mundial (por lo que son los que disponen de mas estructura, medios y experiencia), pero todos los antivirus le pueden servir mientras los mantemga residentes y actualizados permanentemente, y los gustos de cada usuario son muy subjetivos, como podrá ver en el apartado que mantenemos abierto al respecto:



https://foros.zonavirus.com/viewtopic.php?t=5051



saludos



ms, 6-12-2005

[msc hotline sat]

Y sobre lo de los recursos de su PC, con 1 Gb de RAM, aunque su CPU no sea de ultima hora, tiene de sobras !!!



SObre lo que le indica el ELITRIIP, nos sorprende, pues la eliminacion de este TXT debe haber sido hecho por detectar en él cadenas viricas, y posiblemente no sea un TXT. sino un README.TXT. .EXE , como engañan muchos virus utilizando "dobles" extensiones



En lo que respecta a no detectar los parches MS04-011 y 012, que son los del LSASS y RPCDCOM, si tiene aplicado el SP2 ya los contempla, y lo que se detecta es que le faltan las claves que lo indican, muy raro, pero si sabe que los tiene aplicados, prescinda de que no tenga en el registro la etiqueta correspondiente, pero tengalo presente para otras veces que le salga dicha deteccion



saludos



ms, 6-12-2005

[BigKahuna]

Probablemente no me reconosca dichos parches por tener una version del windows no espaöola, no obstante tengo el sp2 asi q ignorare en futuras ocaciones ese mensaje.



Lo de la continua deteccion en mi ordenador de nuevos troyanos me tienes por la calle de la amargura pero guiare por el lema de esta pagina web :)



En cuanto al antivirus usado por los admin y moderadores, le hare caso y lo probare, he leido usan la version 8.0i del mcafee enterprise.



Siento el bombardeo de continuas preguntas q les he hecho, a parir de ahora intentare ayudar un poco mas en el foro



Gracias por todo

[msc hotline sat]

Efectivamente, si el S.O. no es en castellano es posible que las claves donde indican tener el parche aplicado, tengan diferentes nombres de ruta, y por ello no encontremos las que conocemos que instala en nuestros sistemas.



Prescinda de dicha informacion en tal caso



Y en lo que considere que puede ser util su experiencia al foro, participe, que todos tenemos que aprender algo cada día



Y considerando solucionado el Tema, procedemos a cerrarlo



saludos



ms, 8-12-2005