Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, tengo un spyware bastante molesto que no me detecta ni el "ad-aware SE personal" ni el Spy-Bot S&D. Bastante frecuentemente me aparece una ventana que parece la tipica de avisos de windows cuyo titulo es "Windows Security Center" y pone algo de que el firewall de windows ha detectado actividades sospechosas a traves de internet y que si quiero solucionarlo". Tambien me sale un pop-up de color amarillo en la parte inferior derecha de la pantalla que mas o menos me dice lo mismo "Your computer might be at risk" "Click on the ballon to solve it".

Sin mas que comentar pego mi log de HijackThis 1.99.1.
Muchas gracias por todo y en especial a los que me ayuden a resolverlo

Log de HiJackThis:
Logfile of HijackThis v1.99.1
Scan saved at 08:45:23 p.m., on 11/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\ARCHIV~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Archivos de programa\Horus\CiberC\mysql\bin\mysqld-nt.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\Archivos de programa\Horus\CiberC\ccss.exe
C:\Archivos de programa\Horus\CiberC\ciberc.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE
C:\Utilitarios\damián\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {0BCE156A-D4CA-0675-CF37-61450A77DA47} - SYSTRAV.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [FLKPT] StartCpl.exe
O4 - HKLM\..\Run: [Trayz] runload32.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [ERTYDF] progmen.exe
O4 - HKCU\..\Run: [prgsys0984] avpmondll.exe
O4 - HKCU\..\Run: [bingo9] ERTYDF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123686055265
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD77F9C5-07CA-4241-9E9F-85C13D8CC65A}: NameServer = 200.51.211.7,200.51.212.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA886A58-42AB-4FD5-A89A-CA74495C9797}: NameServer = 195.95.218.3,85.255.112.5
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Horus Ciberc Servidor (ccs) - Horus Sistemas - C:\Archivos de programa\Horus\CiberC\ccss.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\ARCHIV~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Horus Ciberc Base de Datos (mysql) - Unknown owner - C:\Archivos de programa\Horus\CiberC\mysql\bin\mysqld-nt.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)

Hola

Recuerda pasar por el windowsupdate.com regularmente y mantener tu sistema actualizado. Instala lo ante sposible las actualizaciones del explorer y los parches del sistema.

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Desactivar la restauración del sistema
3. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»
4. Haz los pasos con todos los programas cerrados salvo el que estés usando para la reparación o limpieza.

Deberás marcar estas líneas en el Hijackthis para reparar:

• R3 - URLSearchHook: (no name) - {0BCE156A-D4CA-0675-CF37-61450A77DA47} - SYSTRAV.dll (file missing)
• O4 - HKLM\..\Run: [FLKPT] StartCpl.exe
• O4 - HKLM\..\Run: [Trayz] runload32.exe
• O4 - HKCU\..\Run: [ERTYDF] progmen.exe
• O4 - HKCU\..\Run: [prgsys0984] avpmondll.exe
• O4 - HKCU\..\Run: [bingo9] ERTYDF.exe
• O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)

Esto no lo conozco, deberás revisar sus propiedades y ver si pertenece a algo que hayas instalado, si no es así, renómbralo y observa el funcionamiento de tu sistema durante un par de días, si nada va mal, bórralo. Si sabes que es o tiene alguna información que nos pueda servir, te la agradeceremos. Si no te suena de nada y quieres saber si es un código malicioso, puedes hacerlo analizar en esta página.

• C:\Archivos de programa\Horus\CiberC\ccss.exe
• C:\Archivos de programa\Horus\CiberC\ciberc.exe

Si has de ejecutar el hijackthis otra vez, asegúrate de hacerlo con todas las demás aplicaciones cerradas.

Después de haber hecho esas reparaciones, ejecuta estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Disck Cleaner
• Microsoft AntiSpyware
• Spybot Search and Destroy
• Microsoft AntiSpyware
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Tras estos pasos y reparaciones, cuéntanos como evoluciona el tema.

Felicidad

Muchisimas gracias por tratar de ayudarme.
Ayer por la noche segui las instrucciones que me enviaron.
Lo que logre con estos procesos fue disminunir la cantidad de veces que salen los cartelitos molestos. Ahora salen con muy poca frecuencia pero siguen saliendo. hoy tratare de ejecutar nuevamente el Hijackthis para obtener otro log con todas las aplicaciones cerradas y enviarlo nuevamente.
Nuevamente gracias
Santiago

Aqui envio el log

Logfile of HijackThis v1.99.1
Scan saved at 12:28:25 a.m., on 15/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\ARCHIV~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Archivos de programa\Horus\CiberC\mysql\bin\mysqld-nt.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\WINDOWS\System32\r_server.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\Archivos de programa\Horus\CiberC\ccss.exe
C:\Utilitarios\damián\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123686055265
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD77F9C5-07CA-4241-9E9F-85C13D8CC65A}: NameServer = 200.51.211.7,200.51.212.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA886A58-42AB-4FD5-A89A-CA74495C9797}: NameServer = 195.95.218.3,85.255.112.5
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Horus Ciberc Servidor (ccs) - Horus Sistemas - C:\Archivos de programa\Horus\CiberC\ccss.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\ARCHIV~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Horus Ciberc Base de Datos (mysql) - Unknown owner - C:\Archivos de programa\Horus\CiberC\mysql\bin\mysqld-nt.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\System32\r_server.exe" /service (file missing)

Hola, tu log esta limpio y si no hay mas problemas damos el tema por solucionado.

SAlu2

Anoche mande el log, y todavia siguen saliendo estos cartelitos molestos, con mucha menos frecuencia. ?? La verdad no entiendo mucho el tema, pues para mi es igual que salga una vez o varias, significa que todavia existe el inconveniente.

Gracias por todo

Hola, como te puse en el mensaje anterior el log de HijackThis aparece limpio, pero si todavía tenes problemas chequea que tengas correctamente deshabilitada la opción de Mensajero de Windows (Messenger Service)

Hacele un escaneo online con "Panda y Kaspersky Antivirus"

También descarga, actualiza y ejecuta Ewido Security Suite 3.5 y nos contas los resultados.

Salu2

Hola
Hice todo lo que me indicaste, y con el antivirus kaspersky parece haber liquidado todo. Hasta ahora no volvieron a aparecer los malditos cartelitos.
parece que todo funciono ok.

No se si tiene que ver, pero cuando arranco la maquina y ejecuto el panda titanium antivirus 2005, analisis exhaustivo, detecta los siguientes:

Cookie/belnk
Cookie/com.com
Cookie/yieldmanager
Cookie/cs.sexcounter

este proceso los elimina pero luego vuelven a aparecer.

Ademas el mismo panda luego de haber terminado este proceso, aparecen los siguientes:

trj/qhost.bp en windows\system32\hclean32.exe
adware/quickweb en windows\system32\ntfsnlpa.exe
adware/findspy en windows\system32\rdsndin.exe

Los muestra como eliminado pero siguen apareciendo.

Gracias

Marca esta entrada y pulsa en fix checked:

O17 - HKLM\System\CCS\Services\Tcpip\..\{DA886A58-42AB-4FD5-A89A-CA74495C9797}: NameServer = 195.95.218.3,85.255.112.5

Elimina los tres ejecutables que te detecta como infectados.

Hola, nuevamente

Marque la entrada 17 y luego fix checked, previamente desactivar sistema.
Respecto a los ejecutables los detecta el Panda y los elimina????

Recien hice un analisis exhaustivo con el Panda y volvio a acusar:
Cookie/com.com
Cookie/touchclarity


Gracias
Santiago