Foros de Windows y Seguridad Informática: JS.Exception.Exploit written by shd

ese Disk Cleaner no es lo mismo q CCleaner??
y ya puedo borrar Elistara????

O2 - BHO: (no name) - {0B5F7FDF-0717-45BF-B49D-695F3168C7FE} - C:\WINNT\system32\admparsek.dll (file missing) : no estaba

O4 - Startup: .protected
O4 - Global Startup: .protected : y esas 2 salia q no se podian eliminar xq estaban en uso

Cita

No, parecido

Cita

Si

Pega un nuevo log

Un Saludo

sueave q estoy pasndo el bit defender que esta dem lerdo...
o pongo de 1 ve el log??

Cuando acabes pega el log.

Un Saludo

Además haz esto:
Baja este programa:
http://siri.urz.free...mitfraudFix.zip
Extrae todos los archivos al escritorio, una carpeta llamada
SmitfraudFix se creará , la abres haciendo y haces doble clic en smitfraudfix.cmd
Seleccionas la opción #1 – Search tecleando 1 y dándole a Enter
Ten paciencia mientras el programa trabaja, luego te dará un reporte (log) llamado
rapport.txt el cual se encontrará en la raíz de tu disco duro, lo más común será C: rapport.txt
Me lo copias y pones en tu próximo post junto con los otros reportes
Salu2
Caito

como que extraiga todos los archivos al escritorio???

Al descomprimirlo, hazlo en el escritorio, se creara una carpeta con el nombre SmitfraudFix

Cita

Un Saludo

BitDefender Online Scanner - Real Time Virus Report



Generated at: Fri, Jul 07, 2006 - 20:52:16


--------------------------------------------------------------------------------





Scan Info



Scanned Files
842771

Infected Files
19








Virus Detected



Trojan.Swizzor.DH
2

Trojan.Downloader.Zlob.XB
1

Trojan.Dialer.QL
1

GenPack:Trojan.Swizzor.HH
3

GenPack:Trojan.Swizzor.GI
6

GenPack:Trojan.Swizzor.BF
2

Trojan.Muldrop.1326.Q
1

GenPack:Trojan.Downloader.Swizzor.CB
1

MemScan:Trojan.Downloader.KeenValue.A
1

GenPack:Trojan.Downloader.Swizzor.DV
1










--------------------------------------------------------------------------------



This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 09:28:46 p.m. 07/07/2006

+ Scan result:



C:\Documents and Settings\Stephanie\Cookies\stephanie@ads.addynamix[1].txt -> TrackingCookie.Addynamix : Cleaned.
C:\Documents and Settings\Stephanie\Cookies\stephanie@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned.
C:\Documents and Settings\Stephanie\Cookies\stephanie@fastclick[2].txt -> TrackingCookie.Fastclick : Cleaned.
C:\Documents and Settings\Stephanie\Cookies\stephanie@media.fastclick[1].txt -> TrackingCookie.Fastclick : Cleaned.
C:\Documents and Settings\Stephanie\Cookies\stephanie@statcounter[1].txt -> TrackingCookie.Statcounter : Cleaned.
C:\Documents and Settings\Stephanie\Cookies\stephanie@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Cleaned.
C:\WINNT\Temp\win16.tmp.exe -> Trojan.Pakes : Cleaned with backup (quarantined).
C:\WINNT\Temp\win68.tmp.exe -> Trojan.Pakes : Cleaned with backup (quarantined).


::Report end

Logfile of HijackThis v1.99.1
Scan saved at 09:29:42 p.m., on 07/07/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Navnt\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\ARCHIV~1\Navnt\rtvscan.exe
C:\WINNT\system32\nvsvc32.exe
D:\oracle\ora92\bin\omtsreco.exe
D:\oracle\ora92\bin\agntsrvc.exe
D:\oracle\ora92\Apache\Apache\apache.exe
C:\WINNT\system32\cmd.exe
D:\oracle\ora92\BIN\TNSLSNR.exe
d:\oracle\ora92\bin\ORACLE.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\system32\IoctlSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
D:\oracle\ora92\bin\dbsnmp.exe
D:\oracle\ora92\Apache\Apache\apache.exe
C:\WINNT\Mixer.exe
D:\oracle\ora92\jdk\bin\java.exe
D:\oracle\ora92\jdk\bin\java.exe
d:\oracle\ora92\bin\isqlplus
C:\Archivos de programa\Navnt\vptray.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
C:\Archivos de programa\Prolific\USB Flash Disk Utility\PLBkMon.exe
C:\WINNT\system32\HotfixQ0306270.exe
C:\Archivos de programa\Multimedia Card Reader\shwicon2k.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
D:\Stephanie\Mis documentos\Docs\ewido\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\system32\9e3f865.exe
C:\WINNT\system32\ctfmon.exe
C:\ARCHIV~1\Navnt\vpexrt.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINNT\NOTEPAD.EXE
C:\unzipped\HJT\HJT\HijackThis[www.trucoswindows.net].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.cr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [vptray] C:\Archivos de programa\Navnt\vptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Prolific_PLUtil] C:\Archivos de programa\Prolific\USB Flash Disk Utility\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINNT\system32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Archivos de programa\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe"
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Archivos de programa\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Stephanie\Mis documentos\Docs\MsgPlus.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [TrojanScanner] D:\Stephanie\Mis documentos\Docs\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [!ewido] "D:\Stephanie\Mis documentos\Docs\ewido\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [9e3f865.exe] C:\WINNT\system32\9e3f865.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Free Download Manager] D:\Stephanie\Mis documentos\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Stephanie\Mis documentos\Docs\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Nsod] "C:\ARCHIV~1\RACLE~1\msconfig.exe" -vt yazr
O4 - HKCU\..\Run: [Ultimate Defender] "C:\Archivos de programa\Ultimate Defender\App.exe" hide
O4 - HKCU\..\Run: [9e3f865.exe] C:\Documents and Settings\Stephanie\Configuración local\Datos de programa\9e3f865.exe
O4 - Startup: .protected
O4 - Global Startup: .protected
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://D:\Stephanie\Mis documentos\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Musica - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-libremp37\entrar.html
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O12 - Plugin for .mw2: C:\Archivos de programa\Internet Explorer\PLUGINS\NPLCSI32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.creative.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.co...UC/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitd...can8/oscan8.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/...s/msnchat45.cab
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O20 - Winlogon Notify: winliw32 - C:\WINNT\SYSTEM32\winliw32.dll
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINNT\system32\CTSVCCDA.EXE (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\ARCHIV~1\Navnt\defwatch.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Stephanie\Mis documentos\Docs\ewido\ewido anti-spyware 4.0\guard.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Unknown owner - C:\ARCHIV~1\Navnt\rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92Agent - Oracle Corporation - D:\oracle\ora92\bin\agntsrvc.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - D:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: OracleOraHome92HTTPServer - Unknown owner - D:\oracle\ora92\Apache\Apache\apache.exe" --ntservice (file missing)
O23 - Service: OracleOraHome92PagingServer - Unknown owner - D:\oracle\ora92/bin/pagntsrv.exe
O23 - Service: OracleOraHome92SNMPPeerEncapsulator - Unknown owner - D:\oracle\ora92\BIN\ENCSVC.EXE
O23 - Service: OracleOraHome92SNMPPeerMasterAgent - Unknown owner - D:\oracle\ora92\BIN\AGNTSVC.EXE
O23 - Service: OracleOraHome92TNSListener - Unknown owner - D:\oracle\ora92\BIN\TNSLSNR.exe
O23 - Service: OracleServiceBASES - Oracle Corporation - d:\oracle\ora92\bin\ORACLE.EXE
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINNT\system32\IoctlSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

SmitFraudFix v2.68b

Scan done at 20:59:15,43, Vie 07/07/2006
Run from C:\Documents and Settings\Stephanie\Escritorio\SmitfraudFix
OS: Microsoft Windows 2000 [Versi¢n 5.00.2195] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT

C:\WINNT\.protected FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32

C:\WINNT\system32\hvcycg.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Stephanie\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOCUME~1\STEPHA~1\MENINI~1\PROGRA~1\Inicio\.protected FOUND !
C:\DOCUME~1\ALLUSE~1\MENINI~1\PROGRA~1\Inicio\.protected FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Archivos de programa


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="about:Home"
"SubscribedURL"="about:Home"
"FriendlyName"="Mi p gina de inicio actual"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{259BA022-2005-45E9-A965-10EDB9C00605}"="Windows Updater"

[HKEY_CLASSES_ROOT\CLSID\{259BA022-2005-45E9-A965-10EDB9C00605}\InProcServer32]
@="C:\WINNT\g7492293.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{259BA022-2005-45E9-A965-10EDB9C00605}\InProcServer32]
@="C:\WINNT\g7492293.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{0B5F7FDF-0717-45BF-B49D-695F3168C7FE}"="Master Browseui"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

yap

Imprime o copia estas indicaciones!!!

Si no sabes cómo hacer algunos de los procedimientos mira esto:
http://www.trucoswin...opic-25181.html

Esto es muy importante ( SI TE SALTEAS ESTE PASO TE RECOMIENDO QUE NO HAGAS NADA ) :

Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack

Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )

Desactiva Restaurar Sistema (si tienes ME o XP )
Reinicia en Modo seguro o A prueba de Fallos
Haz que se vean todos los archivos.
Cierra todas las aplicaciones
Ejecuta el Hijack :
Busca “Open the Misc Tools Section"
Selecciona "Open process manager"
Busca los siguientes procesos:

9e3f865.exe

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”
Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:

C:\WINNT\system32\9e3f865.exe

O4 - HKLM\..\Run: [9e3f865.exe] C:\WINNT\system32\9e3f865.exe

O4 - HKCU\..\Run: [9e3f865.exe] C:\Documents and Settings\Stephanie\Configuración local\Datos de programa\9e3f865.exe

O4 - Startup: .protected

O4 - Global Startup: .protected

Cierra el Hijack.

Busca estos archivos y los eliminas: (pueden no estar )

C:\WINNT\system32\9e3f865.exe

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Ejecuta el Ewido

Reinicia normal, conecta Internet, pon el reporte del Ewido y pega un nuevo log del Hijack.


Si alguna se te resiste, bajate este programa (killBox)
http://www.bleepingc...are/KillBox.zip

Desactiva la opcion de Restaurar Sistema, una vez que tu sistema quede limpio la puedes volver a activar.

Asegura que tu sistema Muestre los archivos y carpetas ocultos

Reinicia en Modo Seguro

Inicia el KillBox.exe y selecciona la opción "Delete on reboot" (Eliminar al reiniciar).

En el recuadro etiquetado como "Full path of file to delete" (Ruta completa del archivo a eliminar).

Ahi pones el nombre del archivo y la ruta de donde se encuentra:

Ejemplo (C:\WINNT\system32\9e3f865.exe )

Luego pulsa el botón que parece un circulo rojo con una X blanca. Cuando pregunte si se quieres reiniciar ahora ("Reboot now"), ponle que Yes (SI) .

Un Saludo

como cierro tooodas las aplicaciones???