Virus? Troyan? Worm? que ma pasa doctor?

Estado
Cerrado para nuevas respuestas

Garbi

Nuevo Miembro
Miembro
#1
A ver, hace un par de dias, intente cambiar de firewall y antivirus....a una nueva version.

En esas, me cargue algo del registro de Windows y como hacia bastante tiempo del ultimo formateo...decidi hacer uno, para así empezar de limpio de nuevo.

Resulta que mientras me encontraba instalando un programa, mejor dicho mientras introducia una clave de registro pirata al programa...me salto una ventana diciendo que estaba utilizando ilegalmente ese programa, que por mi bien lo desisntalara o lo registrara legalmente. Bueno pues me instalo algo en el inicio y tal...me deshice del programa y del spy que me introdujo. Todo de manera manual y con el regcleaner.

Revisando el administrador de tareas de Windows para ver si quedaba algo encontré procesos bastante sospechosos. Pase un antivirus totalmente actualizado y me encontro unos 7 u 8 virus y spy de publicidad no deseada.

Le pase el Spybots y el Spyware Blaster también totalmente actualizados. Me deshice de nuevo de mas mierda...

Pero para mi sorpresa todavia están ahi los procesos sospechosos en el administrador de tareas...y sus correspondientes archivos.exe en mi ordenador.

El caso es que les paso el antivirus y no los detecta como virus, pero yo me apostaba una mano a que esos eran procesos de algún virus o spy....y así di con este foro.

Confirmando que 4 de los 5 de los que sospechaba eran algo malicioso....pero no consigo aclarar dudas sobre ellos. Ni se muy bien como deshacerme de ellos, ya que todo lo que he encontrado atraves de este foro, son paginas en ingles. Y mi ingles esta para intuir lo que dicen, pero nada mas....no me atrevo a hacer nada por una traduccion intuitiva de lo que se dice sobre estos procesos.

Ahora ya no se si todos estos procesos están por aquella entrada del programa pirateado o si no tiene nada que ver.

Los procesos que me tiene mas que mosqueado son los siguientes:

csrs.exe

lssas.exe

service.exe

ssms.exe

De algúno de ellos encuentro muchas posibilidades, como es el caso de service.exe, puede ser un trojan, un worm o un virus, segun opciones varias que no alcanzo a adivinar en mi caso.

Tambien leyendo por este foro descubri el HijackThis, me lo he instalado y a continuacion pongo el log, para que algún alma caritativa me sepa decir que es lo que tengo.

Por ultimo al hacer el log...vi una cosa en el arranque de Windows que horas antes de hacer lo del HijackThis no lo tenia:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Bueno pues eso es todo lo que sospecho del log del HijackThis....creo que lo demas esta bien...creo.
 

Garbi

Nuevo Miembro
Miembro
#2
Logfile of HijackThis v1.97.7

Scan saved at 18:26:36, on 09/11/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\Archivos de programa\Hmonitor\hmonitor.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\SSMS.EXE

C:\WINDOWS\system32\LSSAS.EXE

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\service.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\System32\svchost.exe

D:\EMULE\eMule 0.44b_eF-Mod 1.3b\emule.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe

C:\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.as.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: (no name) - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - C:\Archivos de programa\Archivos comunes\justDo\Jd2002.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [hmonitor] C:\Archivos de programa\Hmonitor\hmonitor.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Save Flash with Flash Catcher - res://C:\Archivos de programa\Archivos comunes\justDo\IECatcher.DLL/FlashCatcher.htm

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Flash Catcher (HKLM)

O9 - Extra 'Tools' menuitem: Flash Catcher (HKLM)

O9 - Extra button: Referencia (HKLM)

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
 

alnitak

Ex-Admin
Miembro
#3
Por favor, bájate el HijackThis 1.98.2 y sobrescribe tu versión antes de seguir las demás instrucciones.

Efectivamente estos procesos:

C:\WINDOWS\system32\SSMS.EXE

C:\WINDOWS\system32\LSSAS.EXE

C:\WINDOWS\system32\service.exe

son seguramente malwares.

El otro que nombras no lo veo.

Lo curioso es que no salen en el arranque del sistema así que no se como se arrancan.

Con el mismo HijackThis dale a config >> misc tools >> marca la casilla "list empty sections(complete) >> Generate startuplist

Colocame ese log aquí.

Antes de eso reinicia el sistem en modo seguro y con el HijackThis limpia estas entradas:

R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)

O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com

y después renombra esos archivos cambiandole la extension a .bak
 

Garbi

Nuevo Miembro
Miembro
#4
alguien ha quitado mi ultimo mensaje?

lo vuelvo a poner? o es que lo has quitado tu alnitak?
 

alnitak

Ex-Admin
Miembro
#5
Disculpa las molestias Garbi

El servidor de la Web se ha muerto repentinamete y nos hemos tenido que trasladar a otro je.

Otro cambio de server

Lamentablemente todos los posts de ayer se han perdido al igual que los nuevos registros de usuarios.

Por favor si no es mucha molestia vuelve a colocar tu ultimo post y disculpanos.
 

Garbi

Nuevo Miembro
Miembro
#6
Nada hombre, no pasa nada, yo soy moderador en un foro y también de cuando en cuando nos pasa una cosilla de estas...

Bueno ahora a ver si recuerdo lo que dije...

El proceso ese que dices que no sale en el log, seguramente es que lo finalizaria manualmente en el administrador de tareas, por eso no sale.

Respecto a renombrar esos dos archivos a .bak supongo que te referias a los dos archivos que se generan en la carpeta backup. Yo no les veia la extension...simplemente el añadi .bak

Voy a pegar un reinicio y te pego ese log, que cada vez que inicio, finalizo esas tareas en el administrador de tareas, y ahora no van a salir en el log.

NOTA: En el mensaje que desaparecio, inclui esta nota. No se si tengo que incluir todo el log...porque es largo. Y te dije que si no hacia falta y quedaba todo muy largo, eliminases lo que tu creyeses conveniente (aprovechando que veo que tienes privilegios de administrador)
 

alnitak

Ex-Admin
Miembro
#7
Cuando te pido que renombre los archivos de .exe me refiero a estos:

C:\WINDOWS\system32\SSMS.EXE

C:\WINDOWS\system32\LSSAS.EXE

C:\WINDOWS\system32\service.exe

csrs.exe

por los nombres son casi seguramente malwares así que no tiene caso dejarlos allí, pero tampoco es prudente borrarlos sin saber exactamente que son, por lo tanto vamos a dejarlos así.

C:\WINDOWS\system32\SSMS.bak

C:\WINDOWS\system32\LSSAS.bak

C:\WINDOWS\system32\service.bak

csrs.bak

Con esto lograremos 2 cosas:

Que los archivos no se ejecuten y eventualmente que tu sistema nos tire un error cuando intente lanzarlo para ver si nos aclara como se inician.

En el log del HijackThis deberían salir todas las entradas de los archivos que se arrancan en el inicio del sistema a pesar de que los hayas terminado desde el administrador de tareas, de allí que me extrañe no verlos por ningún lado y que necesite ver el otro log que es mas completo:

Con el mismo HijackThis dale a config >> misc tools >> marca la casilla "list empty sections(complete) >> Generate startuplist

Colocame ese log aquí.
Por espacio no te preocupes que tenemos suficiente, nuestros problemas son de otra naturaleza. Nuestra Web recibe ataques todos los días a eso de las 11 PM de España y nos suben las cargas del server por arriba del 30% hasta colgarlo a veces.

El del martes ha sido mas efectivo de los anteriores ademas que el server no era gran cosa y la Web ha crecido mucho en visitas así que nos han colgado el server 15 horas y nos han obligado a mudarnos a uno algo mas solido (o al menos eso se espera porque ayer a las 11 PM de España andabamos con las cargas en 25 % otra vez )
 

Garbi

Nuevo Miembro
Miembro
#8
Me voy a volver loco...resulta que el otro dia cuando me dijiste que no veias el otro proceso, mire y era verdad. Reinicie y volvia a estar ahi....es decir yo debia haberlo finalizado en el administrador de tareas...y cada vez que he reiniciado desde entonces ha seguido estando ahi.

Pero resulta que ya no esta, ni en el administrador de tareas, ni tampoco esta el archivo csrs.exe en system32...bueno, eso significa que esta tarde cuando he pasado de nuevo el Spybot y el spyware....me lo ha detectado y borrado.

O también puede ser porque he revisado mi lista de programas instalado en agregar o quitar programas y he desinstalado una cosa que se llamaba: "mIrc" y que ha dicho que su instalación estaba en system32...

Ya incluso me estoy planteando volver a formatear...cuando tan solo llevo 4 días con el ordenador formateado. Pero no me rindo por ahora.

Ahora si, el log:
 

Garbi

Nuevo Miembro
Miembro
#9
Perdona no había visto tu ultimo mensaje, antes de crear el log ese, he renombrado, y luego reiniciado. Aunque también tengo una copia guardada del ultimo que hice antes de renombrar los archivos a bak.

StartupList report, 12/11/2004, 2:53:26

StartupList version: 1.52.2

Started from : C:\hjt\HijackThis.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)

* Using default options

* Including empty and uninteresting sections

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\Archivos de programa\Hmonitor\hmonitor.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\hjt\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:

[C:\Documents and Settings\GARBIMAN\Menú Inicio\Programas\Inicio]

*No files*

Shell folders AltStartup:

*Folder not found*

User shell folders Startup:

*Folder not found*

User shell folders AltStartup:

*Folder not found*

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

*No files*

Shell folders Common AltStartup:

*Folder not found*

User shell folders Common Startup:

*Folder not found*

User shell folders Alternate Common Startup:

*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

nwiz = nwiz.exe /install

SunJavaUpdateSched = C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

hmonitor = C:\Archivos de programa\Hmonitor\hmonitor.exe

ccApp = "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

MessengerPlus3 = "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

TkBellExe = C:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe -osboot

Symantec NetDriver Monitor = C:\ARCHIV~1\SYMNET~1\SNDMon.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

Skype = "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

MessengerPlus3 = "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

msnmsgr = "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]

*No values found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

File association entry for .EXE:

HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:

HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:

HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:

HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:

HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:

HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINDOWS\System32\mshta.exe "%1" %*

--------------------------------------------------

File association entry for .TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:

HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*

run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\Windows: load=

HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

Norton Internet Security - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1}

(no name) - C:\Archivos de programa\Archivos comunes\justDo\Jd2002.dll - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E}

NAV Helper - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Analizar el equipo - GARBIMAN.job

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[DirectAnimation Java Classes]

CODEBASE = file://C:\WINDOWS\Java\classes\dajava.cab

OSD = C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

[Microsoft XML Parser for Java]

CODEBASE = file://C:\WINDOWS\Java\classes\xmldso.cab

OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

[Symantec AntiVirus scanner]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\avsniff.dll

CODEBASE = http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

[Office Update Installation Engine]

InProcServer32 = C:\WINDOWS\opuc.dll

CODEBASE = http://office.microsoft.com/officeupdate/content/opuc.cab

[Symantec RuFSI Utility Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\rufsi.dll

CODEBASE = http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

[Java Plug-in 1.4.2_04]

InProcServer32 = C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

CODEBASE = http://java.sun.com/products/plugin/autodl...indows-i586.cab

[Java Plug-in 1.4.2_04]

InProcServer32 = C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

CODEBASE = http://java.sun.com/products/plugin/autodl...indows-i586.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINDOWS\System32\mswsock.dll

NameSpace #2: C:\WINDOWS\System32\winrnr.dll

NameSpace #3: C:\WINDOWS\System32\mswsock.dll

Protocol #1: C:\WINDOWS\system32\mswsock.dll

Protocol #2: C:\WINDOWS\system32\mswsock.dll

Protocol #3: C:\WINDOWS\system32\mswsock.dll

Protocol #4: C:\WINDOWS\system32\rsvpsp.dll

Protocol #5: C:\WINDOWS\system32\rsvpsp.dll

Protocol #6: C:\WINDOWS\system32\mswsock.dll

Protocol #7: C:\WINDOWS\system32\mswsock.dll

Protocol #8: C:\WINDOWS\system32\mswsock.dll

Protocol #9: C:\WINDOWS\system32\mswsock.dll

Protocol #10: C:\WINDOWS\system32\mswsock.dll

Protocol #11: C:\WINDOWS\system32\mswsock.dll

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

Windows NT checkdisk command:

BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':

PendingFileRenameOperations: *Registry value not found*

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

End of report, 15.932 bytes

Report generated in 0,071 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list versión history only
 

Garbi

Nuevo Miembro
Miembro
#10
Por cierto se me olvidaba decir otra cosa, cuando entre en system32 a renombrar los archivos encontré dos installers, de virus (spy, trojan o lo que sea) (o eso creo) aunque no los detecta como virus el ordenador. Supongo que no pondras pegas en que los elimine:

WebRebates_Auto_InstallSilent.exe

MegasearchBarSetup.exe
 

alnitak

Ex-Admin
Miembro
#11
Eliminalos y si en un par de días no tienes problemas elimina también los archivos que hemos renombrado.

Ya no salen los procesos en ningún lado ni sale algúna entrada sospechosa así que espero haya quedado todo soluciónado.

Escaneate con la ultima versión de Ad Aware y con la opción de escaneo a fondo para que termine de eliminar archivos maliciosos que eventualmente puedan haber quedado escondidos en tu sistema.
 

Garbi

Nuevo Miembro
Miembro
#12
Muchisimas gracias Alnitak, no sabes (bueno si lo sabes) lo que he aprendido gracias a ti. Solo una ultima pregunta.

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe -osboot

El segundo que es de Real, lo puedo quitar sin miedo verdad?

y el primero que es?
 

alnitak

Ex-Admin
Miembro
#13
O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe -osboot

El actualizador de Real

Es completamente inutil y bastante fastidioso pero suele volver al reiniciar el sistema y no hace nada malo, por eso paso ya de mandarlo a remover.

Intenta desmarcar la casilla correspondiente desde inicio >> msconfig >> pestaña inicio, pero es muy pisible que Real vuelva a crear la entrada, dependiendo de la version.

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Un reporte de error, tu sistema ha tenido un error grave y se ha creado esa entrada para avisarte de eso en el reinicio, el tipico mensaje: "su sistema se ha recuperado de un error grave...........etc. etc."

En ocasiónes se queda allí y no se elimina como debería, así que eliminalo con el HijackThis.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie