Buenas,

tengo un problema con un "virus" o "troyano", pq la verdad es que no se que es.
Este intruso me ha puesto un fondo de pantalla en el escritorio con el mensaje "Critical Warning". Logicamente le he pasado el AV actualizado, no me ha encontrado nada, así com el SpyBot i el Ad-aware y nada de nada.

He estado leiendo por aquí y me he descargado el hijackthis y he creado el log de la máquina. Los pasos que he seguido son lo siguientes:
- Reiniciar en Modo Prueba de Fallos
- Entro en Modo seguro
- Y finalmente le paso el hijackthis

El log que ha generado es:

Logfile of HijackThis v1.99.1
Scan saved at 16:47:08, on 29/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis[www.trucoswindows.net].exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.caldea.ad/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://download.sis.com/sisdlc/driver_select.jsp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.80.254:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [HUB service] SMBsvs.exe
O4 - HKLM\..\RunServices: [HUB service] SMBsvs.exe
O4 - HKCU\..\Run: [PopMessenger] C:\Archivos de programa\PopMessenger\PopMessenger.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {D9CA5D65-52BE-4790-BEA3-F3E2F5A76B02} (WebRecomendada Class) - http://62.97.81.200/dll/clickweb.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VAHOTELS.local
O17 - HKLM\Software\..\Telephony: DomainName = VAHOTELS.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{B900FBA3-BEA9-4524-9A7F-9AD7265A1DAF}: NameServer = 192.168.80.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VAHOTELS.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{B900FBA3-BEA9-4524-9A7F-9AD7265A1DAF}: NameServer = 192.168.80.254
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VAHOTELS.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{B900FBA3-BEA9-4524-9A7F-9AD7265A1DAF}: NameServer = 192.168.80.254
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe


UN VEZ HECHO ESTO, QUE PUEDO HACER? QUE PASOS DEBO SEGUIR? HAY ALGUNA COSA BORRABLE?

SI ALGUIEN ME PUDE AYUDAR, LA VERDAD ES QUE ES LA PRIMERA VEZ QUE TOCO ESTE TEMA.

GRACIAS Y SALUDOS

El log del hijack lo tienes que tomar en Modo Normal
Salu2
Caito

BUENAS,

SOY EL MISMO USUARIO QUE ANTES (AleixFV), lo unico que no me acuerdo para nada de la contraseña y he creado un usuario nuevo para entrar (Flanagan007).

PUES BIEN, YA SE LO PASE EN MODO NORMAL Y ESTE HA SIDO EL RESULTADO. SI ME PUDIESES EXPLICAR QUE TENGO QUE HACER PARA ELIMINARLO, PQ A PARTIR DE AQUI YA NO SE QUE HACER.

MUCHAS GRACIAS Y SALUDOS


Logfile of HijackThis v1.99.1
Scan saved at 13:29:16, on 01/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\PopMessenger\PopMessenger.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\HijackThis\HijackThis[www.trucoswindows.net].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.caldea.ad/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://download.sis.com/sisdlc/driver_select.jsp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.80.254:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [HUB service] SMBsvs.exe
O4 - HKLM\..\RunServices: [HUB service] SMBsvs.exe
O4 - HKCU\..\Run: [PopMessenger] C:\Archivos de programa\PopMessenger\PopMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VAHOTELS.local
O17 - HKLM\Software\..\Telephony: DomainName = VAHOTELS.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{B900FBA3-BEA9-4524-9A7F-9AD7265A1DAF}: NameServer = 192.168.80.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VAHOTELS.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{B900FBA3-BEA9-4524-9A7F-9AD7265A1DAF}: NameServer = 192.168.80.254
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VAHOTELS.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{B900FBA3-BEA9-4524-9A7F-9AD7265A1DAF}: NameServer = 192.168.80.254
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

Bajar ewido security suite:
http://www.ewido.net/en/download/
Actualizarlo acá :
http://www.ewido.net/en/download/updates/

configurarlo así:

• During the installation, under "Additional Options" uncheck "Install background guard" and "Install scan via context menu".
• Launch ewido, there should be a big E icon on your desktop, double-click it.
• The program will prompt you to update click the OK button
• The program will now go to the main screen
You will need to update ewido to the latest definition files.
• On the left hand side of the main screen click update
• Click on Start
The update will start and a progress bar will show the updates being installed.

Once the updates are installed do the following:
• Reboot into Safe Mode, you can do this by restarting your computer, then contiunally tapping F8 until a menu appears. Use your up arrow key to highlight Safe Mode, then hit enter. Then, run Ewido.
• Click on scanner
• Make sure the following boxes are checked before scanning:
o Binder
o Crypter
o Archives
• Click on Start Scan
• Let the program scan the machine
While the scan is in progress you will be prompted to clean files, click OK

Once the scan has completed, there will be a button located on the bottom of the screen named Save report
• Click Save report
• Save the report to your desktop

limpias con este programa, reinicias y pon el reporte de éste y un nuevo log del hijack
Salu2
Caito
Pd: por lo del escritorio :
A ver prueba esto:
Paso 1- Iniciar en modo a prueba de fallos.

Paso 2- Buscar y eliminar manualmente el Archivo Desktop.exe o Desktop.html
Paso 3- Buscar y eliminar los archivos c:\WP.BMP y c:\WP.EXE

Paso 4- Ir al Panel de Control o pulsar en el botón derecho del mouse sobre el escritorio y abrír el menu donde permite cambiar el fondo.

Paso 5- Una vez ahí, ir a las segunda pestaña que dice "Desktop" (Escritorio)

Paso 6- Presionar en el botón que dice "Customize Desktop" (Personalizar Escritorio)

Paso 7- Ahi ir a la segunda lengüeta llamada "Web"

Paso 8- Mirar la casilla que dice "My Current Home Page" (Actual pagina principal) o "Security" y si esta marcada desmarcarla, ósea que quede la casilla vacía.

Paso 9- Pulsar en Aplicar y luego Aceptar y Aceptar nuevamente.

Buenas tardes,

gracias por esta información. estoy en ello. Pero hay un punto que no entiendo de la solución que me has dado. Hay un momento que pones lo siguiente:

"limpias con este programa, reinicias y pon el reporte de éste y un nuevo log del hijack"

Esto que significa? pq no acabo de entender que tengo que hacer una vez pasado el EWIDO.

Muchas gracias por tu tiempo y saludos.

Me pones el reporte del Ewido y el del hijack al último para ver cómo quedó.
Salu2
Caito

BUENAS,

REPORTE DE EWIDO:

---------------------------------------------------------
ewido security suite - Report de exploración
---------------------------------------------------------

+ Creado en: 18:55:52, 01/09/2005
+ Report-Checksum: 84EFF336

+ Scan result:

No se han encontrado archivos infectados!


::Fin Report

........................................................................


REPORTE DE HIJACKTHIS
(ESTE LO HE PASADO DESPUES DE PASAR EL EWIDO, ES CORRECTO, NO?):

Logfile of HijackThis v1.99.1
Scan saved at 18:58:41, on 01/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\PopMessenger\PopMessenger.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HijackThis\HijackThis[www.trucoswindows.net].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.caldea.ad/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://download.sis.com/sisdlc/driver_select.jsp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.80.254:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [HUB service] SMBsvs.exe
O4 - HKLM\..\RunServices: [HUB service] SMBsvs.exe
O4 - HKCU\..\Run: [PopMessenger] C:\Archivos de programa\PopMessenger\PopMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VAHOTELS.local
O17 - HKLM\Software\..\Telephony: DomainName = VAHOTELS.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{B900FBA3-BEA9-4524-9A7F-9AD7265A1DAF}: NameServer = 192.168.80.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VAHOTELS.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{B900FBA3-BEA9-4524-9A7F-9AD7265A1DAF}: NameServer = 192.168.80.254
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VAHOTELS.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{B900FBA3-BEA9-4524-9A7F-9AD7265A1DAF}: NameServer = 192.168.80.254
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe


SALUDOS

No veo nada malo en tu log y ya ves que el ewido tampoco te detecta nada.
Esta línea sabes a qué se refiere :
O4 - HKLM\..\RunServices: [HUB service] SMBsvs.exe
Es lo único que veo raro pero debido a que no se que es.
Salu2
Caito