Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola a todos

Tengo instalado el Avast (junto con el Ad-aware, Spybot y SpywareBlaster), y desde hace unas semanas el antivirus me advirtierte -con númerosas ventanas- sobre un "Mensaje Sospechoso".
He tratado de arreglar este problema con el software que les tengo, pero como supondrán, sigo en problemas!!!. Xfavor, les agradeceré que me ayuden con esto. Les copio el Hijack que hice, y espero que les sirva :)

Gracias, Alicia



Logfile of HijackThis v1.99.1
Scan saved at 11:04:05 , on 29/07/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ESRI\License\arcgis9x\lmgrd.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\ESRI\License\arcgis9x\ARCGIS.EXE
C:\Archivos de programa\Canon\CAL\CALMAIN.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Java\jre1.5.0_11\bin\jucheck.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AttuneClientEngine] C:\ARCHIV~1\Aveo\Attune\bin\attune_ce.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.mrw.interscience.wiley.com/wfplayer/tdserver.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://adrianayocalufebendi.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Toolbar) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{66D1093D-CE2F-4339-8B1B-814DF62BA307}: NameServer = 200.48.225.130,200.48.225.146
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ArcGIS License Manager - Unknown owner - C:\Archivos de programa\ESRI\License\arcgis9x\lmgrd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe

Hola alicia_v, te doy la bienvenida al Foro de InfoSpyware

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Descarga, actualiza y ejecuta

• SUPERAntiSpyware

• Descarga la herramienta ComboFix.exe y guárdala tu escritorio.
• Hace doble-click en el archivo combofix.exe y seguí los avisos.
• Cuando termine este generara un reporte que tendrías que pegar en este mismo mensaje.
  • Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

Reinicia y nos contas los resultados.

Salu2

Hola ElPiedra

Gracias x la ayuda. Hice lo q me indicaste. El SuperAntiSpyware detectó y eliminó dos troyanos :) Y aquí te pego el reporte del Combofix:


ComboFix 07-07-30.2 - "Alicia" 2007-08-02 14:01:54.1 [GMT -5:00] - NTFS
Microsoft Windows XP Professional 5.1.2600.0.1252.1.3082.18.Verdadero

Rootkit driver pe386 is present. ... attempting disinfection
pe386 ...... driver unloaded successfully.
ADS removed - svchost.exe: deleted 68 bytes in 1 streams.
ADS removed - ntoskrnl.exe: deleted 68 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\azip32.dll


((((((((((((((((((((((((( Files Created from 2007-07-02 to 2007-08-02 )))))))))))))))))))))))))))))))


2007-08-02 13:57 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-31 17:30 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\SUPERAntiSpyware.com
2007-07-31 17:29 <DIR> d-------- C:\DOCUME~1\Alicia\DATOSD~1\SUPERAntiSpyware.com
2007-07-31 17:29 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-07-31 17:28 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-07-31 17:27 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-07-23 23:46 7,602,176 --a------ C:\DOCUME~1\Alicia\ntuser.dat
2007-07-21 12:31 <DIR> d-------- C:\Archivos de programa\AIMP Classic
2007-07-15 19:08 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Google
2007-07-15 00:45 <DIR> d-------- C:\Archivos de programa\GameHouse
2007-07-12 02:11 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-07-07 18:05 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-07-07 18:05 146,944 --a------ C:\WINDOWS\system32\ptpusd.dll
2007-07-07 18:05 13,824 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-07-05 23:47 <DIR> d-------- C:\Archivos de programa\Canon
2007-07-05 23:47 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Canon


(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))

2007-07-31 16:46 --------- d--h----- C:\Archivos de programa\InstallShield Installation Information
2007-07-31 16:46 --------- d-------- C:\Archivos de programa\CyberLink
2007-07-29 11:03 --------- d-------- C:\Archivos de programa\HJT
2007-07-29 10:57 --------- d-------- C:\Archivos de programa\SpywareBlaster
2007-07-28 22:26 --------- d-------- C:\Archivos de programa\SPSS
2007-07-27 17:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-27 17:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-27 17:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-27 17:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 16:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 16:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 16:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-11 22:44 --------- d-------- C:\Archivos de programa\Aveo
2007-05-05 23:06 72736 --a------ C:\DOCUME~1\Alicia\DATOSD~1\GDIPFONTCACHEV1.DAT
2007-02-10 21:02 886592 --a------ C:\Archivos de programa\areslite181.exe
2006-03-17 00:14 115277361 --a------ C:\Archivos de programa\GunBound_GLS_WC_478.exe
2005-04-27 19:03 12654640 --a------ C:\Archivos de programa\Reproductor de Windows Media.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"PCTVOICE"="pctspk.exe" [2001-08-22 22:15 C:\WINDOWS\system32\pctspk.exe]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 03:23]
"WinampAgent"="C:\Archivos de programa\Winamp\winampa.exe" [2003-12-12 19:50]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp. exe" [2007-07-27 17:03]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-02-27 11:39]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Gamma Loader.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-04 15:53:32]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04]
WinZip Quick Pick.lnk - C:\Archivos de programa\WinZip\WZQKPICK.EXE [2007-06-06 1102]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-02-27 11:39 282624 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

R1 NPPTNT2;NPPTNT2;\??\C:\WINDOWS\System32\npptNT2.sy s
R1 SASDIFSV;SASDIFSV;\??\C:\Archivos de programa\SUPERAntiSpyware\SASDIFSV.SYS
R1 SASKUTIL;SASKUTIL;\??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.sys
R2 ArcGIS License Manager;ArcGIS License Manager;C:\Archivos de programa\ESRI\License\arcgis9x\lmgrd.exe
R2 Sentinel;Sentinel;C:\WINDOWS\System32\Drivers\SENT INEL.SYS
R3 CA561;ICatch (VI) PC Camera;C:\WINDOWS\System32\Drivers\SPCA561.SYS
R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\System32\DRIVERS\fetnd5b.sys
R3 SASENUM;SASENUM;\??\C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS
S3 FETNDIS;Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb;C:\WINDOWS\System32\DRIVERS\fetnd5.sys

*Newly Created Service* - SHAREDACCESS

************************************************** ************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-02 14:08:45
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

************************************************** ************************

Completion time: 2007-08-02 14:11:38
C:\ComboFix-quarantined-files.txt ... 2007-08-02 14:09

--- E O F ---


Espero q todo esté bien

Ah! por cierto, ahora q descargué el SuperAnti.... es mejor desintalar el AdAware, Spybot.. y SpywareBlaster????

Gracias otra vez,
Alicia

Hola alicia_v, al parecer ComboFix y el SAS se encargaron de las infecciones pero para confirmar que ComboFix pudo sacar el Rootkit detectado hace lo siguiente:

Reinicia y nos contas como funciona todo.

Salu2

Hola ElPiedra

Bueno, disculpa que haya tardado en responder. En fin, bajé el Gmer y esto fue lo que me salió en la pestaña Rootkit:


GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-08-11 03:12:17
Windows 5.1.2600


---- Kernel code sections - GMER 1.0.13 ----

.text ntoskrnl.exe!KeInitializeInterrupt + B79 804D4F8E 1 Byte [ 06 ]
? C:\DOCUME~1\Alicia\CONFIG~1\Temp\catchme.sys El sistema no puede hallar el archivo especificado.

---- EOF - GMER 1.0.13 ----


Busqué el archivo PE386 en las otras pestañas, pero no lo encontré... supongo q eso significa que sí fue eliminado, no??

Por lo demás en todos estos días el "Mensaje Sospechoso" no ha vuelto a aparecer :)

Gracias,
Alicia

Efectivamente si ya no aparece es porque ComboFix lo pudo borrar sin problemas y si ya esta todo bien damos por solucionado el tema.

Para evitar este tipo de infecciones te recomiendo usar un navegador mas seguro como Firefox

Salu2