Foro de Spyware - Ver Mensaje Individual - problema con merijn.org=127.0.0.1 (Solucionado)

Tema: problema con merijn.org=127.0.0.1 (Solucionado)

Ver Mensaje Individual

post #3 (permalink)

03/05/08, 15:56:29

plopar

Usuario

Registrado: ago 2006

Ubicación: Argentina

Mensajes: 244

Re: problema con merijn.org=127.0.0.1

Hola Elpiedra! gracias por tu respuesta, mira te cuento que me descargue ambos programas y los pase actualizados en modo seguro como indicaste
aqui dejo el reporte.
SDFix

SDFix: Version 1.177
Run by Administrador on 02/05/2008 at 22:31

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\csrcs.exe - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-02 22:41:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos
C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\Desktop.ini 76 bytes
C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\Thumbs.db 62464 bytes
C:\Documents and Settings\Administrador\Mis documentos\Mis archivos recibidos\Thumbs.db:encryptable 0 bytes hidden from API

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 4

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"C:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"="C:\\Archivos de programa\\Mozilla Firefox\\firefox.exe:*:Enabled:Mozilla Firefox"
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe:*:Enabled:msnmsgr.exe"
"C:\\Documents and Settings\\Administrador\\Mis documentos\\Emoticones\\ares\\destreza\\torneo tumbling\\Ares\\Ares.exe"="C:\\Documents and Settings\\Administrador\\Mis documentos\\Emoticones\\ares\\destreza\\torneo tumbling\\Ares\\Ares.exe:*:Disabled:Ares"
"C:\\Archivos de programa\\ESET\\ESET Smart Security\\egui.exe"="C:\\Archivos de programa\\ESET\\ESET Smart Security\\egui.exe:*:Disabled:ESET Smart Security"
"C:\\WINDOWS\\system32\\MPK\\Mpk.exe"="C:\\WINDOWS \\system32\\MPK\\Mpk.exe:*:Enabled:TCP\\IP"
"C:\\WINDOWS\\system32\\MPK\\MpkView.exe"="C:\\WIN DOWS\\system32\\MPK\\MpkView.exe:*:Enabled:TCP\\IP "
"C:\\WINDOWS\\TEMP\\04.exe"="C:\\WINDOWS\\TEMP\\04 .exe:*:Enabled:@xpsp2res.dll,-22005"
"C:\\WINDOWS\\system32\\ualvnsb.exe"="C:\\WINDOWS\ \system32\\ualvnsb.exe:*:Enabled:ENABLE"
"C:\\WINDOWS\\TEMP\\01.exe"="C:\\WINDOWS\\TEMP\\01 .exe:*:Enabled:@xpsp2res.dll,-22005"
"C:\\WINDOWS\\TEMP\\05.exe"="C:\\WINDOWS\\TEMP\\05 .exe:*:Enabled:@xpsp2res.dll,-22005"
"C:\\WINDOWS\\TEMP\\08.exe"="C:\\WINDOWS\\TEMP\\08 .exe:*:Enabled:@xpsp2res.dll,-22005"
"C:\\WINDOWS\\TEMP\\18.exe"="C:\\WINDOWS\\TEMP\\18 .exe:*:Enabled:@xpsp2res.dll,-22005"
"C:\\Documents and Settings\\Administrador\\idlpeh.exe"="C:\\Document s and Settings\\Administrador\\idlpeh.exe:*:Enabled:ENAB LE"
"C:\\WINDOWS\\TEMP\\12.exe"="C:\\WINDOWS\\TEMP\\12 .exe:*:Enabled:@xpsp2res.dll,-22005"
"C:\\WINDOWS\\system32\\xcjuwae.exe"="C:\\WINDOWS\ \system32\\xcjuwae.exe:*:Enabled:ENABLE"
"C:\\WINDOWS\\TEMP\\46.exe"="C:\\WINDOWS\\TEMP\\46 .exe:*:Enabled:@xpsp2res.dll,-22005"
"C:\\WINDOWS\\Explorer.exe"="C:\\WINDOWS\\Explorer .exe:*:Enabled:ENABLE"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sat 24 Feb 2007 104,008 A..H. --- "C:\Folder Guard - Emergency Recovery Utility.exe"
Wed 16 Apr 2008 6,104,632 A..H. --- "C:\Archivos de programa\Picasa2\setup.exe"
Thu 1 May 2008 59,392 ...H. --- "C:\Documents and Settings\Administrador\idlpeh.exe"
Thu 1 May 2008 19,456 ..SHR --- "C:\WINDOWS\system32\msftksvc.exe"
Sun 5 Nov 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 13 Oct 2007 19,142,000 A..H. --- "C:\Documents and Settings\PC\Escritorio\aaw2007.exe"
Sat 13 Oct 2007 12,178,512 A..H. --- "C:\Documents and Settings\PC\Escritorio\avgas-setup-7.5.1.36.exe"
Sat 13 Oct 2007 372,204 A..H. --- "C:\Documents and Settings\PC\Escritorio\DiskCleaner_1.5.7.exe"
Sat 7 Jul 2007 812,344 A..H. --- "C:\Documents and Settings\PC\Escritorio\HJTInstall.exe"
Sat 13 Oct 2007 500,644 A..H. --- "C:\Documents and Settings\PC\Escritorio\HJTInstall.zip"
Tue 4 Aug 1987 56,448 A..H. --- "C:\Documents and Settings\Administrador\Escritorio\Juegos\ALLEYCAT. COM"
Mon 7 Jan 2008 763,967 A..H. --- "C:\Documents and Settings\Administrador\Mis documentos\H\argimpc_110_setup.exe"
Tue 11 Sep 2007 246,668 A..H. --- "C:\Documents and Settings\Administrador\Mis documentos\H\Aztech_600_USB.zip"
Sun 25 Nov 2007 2,725,528 A..H. --- "C:\Documents and Settings\Administrador\Mis documentos\H\ccsetup202.exe"
Sun 9 Dec 2007 2,724,328 A..H. --- "C:\Documents and Settings\Administrador\Mis documentos\H\ccsetup203.exe"
Tue 19 Feb 2008 574,102 A..H. --- "C:\Documents and Settings\Administrador\Mis documentos\H\herramientas.zip"
Wed 12 Sep 2007 17,906,544 A..H. --- "C:\Documents and Settings\Administrador\Mis documentos\H\Install_Messenger.exe"
Mon 10 Dec 2007 30,720 A..H. --- "C:\Documents and Settings\Administrador\Mis documentos\H\pasakche.exe"
Sat 5 Jan 2008 1,157,693 A..H. --- "C:\Documents and Settings\Administrador\Mis documentos\H\tsmmensajes.exe"
Mon 16 Jul 2007 1,271,688 A..H. --- "C:\Documents and Settings\Administrador\Mis documentos\H\WindowsXP-KB927891-v3-x86-ESN.exe"
Mon 16 Jul 2007 565,128 A..H. --- "C:\Documents and Settings\Administrador\Mis documentos\H\WindowsXP-KB935840-x86-ESN.exe"
Thu 6 Mar 2003 4,227 A..H. --- "C:\Documents and Settings\Administrador\Escritorio\Juegos\Agent Ml¡Ÿå k - Teen Agent\SOUNDSET.EXE"
Thu 6 Mar 2003 967 A..H. --- "C:\Documents and Settings\Administrador\Escritorio\Juegos\Agent Ml¡Ÿå k - Teen Agent\SOUNDSET.PIF"
Mon 31 Jul 2000 967 A..H. --- "C:\Documents and Settings\Administrador\Escritorio\Juegos\Crazy Cars 2\cc2ega.PIF"
Tue 28 Dec 1993 722 A..H. --- "C:\Documents and Settings\Administrador\Escritorio\Juegos\Mortal Kombat\CRACK.COM"
Thu 1 Sep 1994 265,420 A..H. --- "C:\Documents and Settings\Administrador\Escritorio\Juegos\Worms\DOS 4GW.EXE"
Sun 3 Sep 1995 8,944 A..H. --- "C:\Documents and Settings\Administrador\Escritorio\Juegos\Worms\FAK ECD.EXE"
Fri 6 Oct 1995 39,746 A..H. --- "C:\Documents and Settings\Administrador\Escritorio\Juegos\Worms\SET UP.EXE"
Fri 6 Oct 1995 426,117 A..H. --- "C:\Documents and Settings\Administrador\Escritorio\Juegos\Worms\WRM S.EXE"
Sun 5 Nov 2006 4,348 A..H. --- "C:\Documents and Settings\Administrador\Mis documentos\H\Mi m£sica\Copia de seguridad de la licencia\drmv1key.bak"
Sun 5 Nov 2006 20 A..H. --- "C:\Documents and Settings\Administrador\Mis documentos\H\Mi m£sica\Copia de seguridad de la licencia\drmv1lic.bak"
Sat 4 Nov 2006 312 A.SH. --- "C:\Documents and Settings\Administrador\Mis documentos\H\Mi m£sica\Copia de seguridad de la licencia\drmv2key.bak"

Finished!

Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.11
Versión de la Base de Datos: 709

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 82564
Tiempo transcurrido: 2 hour(s), 34 minute(s), 0 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 2
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> No action taken.
HKEY_CURRENT_USER\Software\Ares Gold (Adware.WhenUSave) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Despues de haber realizado esto pase el Hijackthis pero los resultados fueron distintos a los primero y no pude eliminar ninguna de estas claves puesto que ya no aparecian:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Docum ents and Settings\Administrador\idlpeh.exe \s

O4 - HKLM\..\Run: [Microsoft Kinetik Svc] msftksvc.exe
O4 - HKLM\..\Run: [NvGraphicsInterface] C:\WINDOWS\TEMP\12.exe
O4 - HKLM\..\Run: [ualvnsb] C:\WINDOWS\system32\ualvnsb.exe \u

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

Solo pude eliminar

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

De igual manera adjunto el log que me salio despues de los analisis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:46:57, on 03/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = ;*.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.18\AMVConverter\grab.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.radar.com.ar
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BEB95EA-5F76-4175-B2EA-C1F02528C133}: NameServer = 200.45.191.35,200.45.191.40
O20 - Winlogon Notify: !SASWinLogon - C:\WINDOWS\

--
End of file - 4482 bytes

Eso es todo y espero tu respuesta amigo!