Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Saludos
Logfile of HijackThis v1.99.1
Scan saved at 10:02:52, on 08/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
c:\windows\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
D:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
d:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
d:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
d:\Archivos de programa\AMSN\bin\wish.exe
C:\WINDOWS\system32\cmd.exe
c:\windows\system32\ftp.exe
D:\Archivos de Programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG7_CC] d:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [gcasServ] "D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1131296258203
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7EBD443-A8FE-45FC-8F05-A1F6228FBE2B}: NameServer = 200.48.225.130,200.48.225.146
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - d:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - d:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

No se mucho de estas cosas, pero me anduve como 1 semana leyendo varios mensajes q pusieron aqui, he hice ya muchas cosas como
desactivar restaurar sistemas en todas las unidades
ingrese en modo a purueba de fallos con conexion a red
y utilice algunos de los antivirus en linea q recomendaron
incluso tengo el reporte de KASPERSKY
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, November 06, 2005 13:11:25
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 6/11/2005
Kaspersky Anti-Virus database records: 148882
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 61153
Number of viruses found: 5
Number of infected objects: 9
Number of suspicious objects: 0
Duration of the scan process: 5314 sec

Infected Object Name - Virus Name
C:\Documents and Settings\Raul\.jpi_cache\jar\1.0\count.jar-7e84fe99-4f8cdeb8.zip/BlackBox.class Infected: Exploit.Java.ByteVerify
C:\Documents and Settings\Raul\.jpi_cache\jar\1.0\count.jar-7e84fe99-4f8cdeb8.zip/VerifierBug.class Infected: Exploit.Java.ByteVerify
C:\Documents and Settings\Raul\.jpi_cache\jar\1.0\count.jar-7e84fe99-4f8cdeb8.zip/Beyond.class Infected: Trojan-Downloader.Java.OpenConnection.aa
C:\Documents and Settings\Raul\.jpi_cache\jar\1.0\count.jar-7e84fe99-4f8cdeb8.zip Infected: Trojan-Downloader.Java.OpenConnection.aa
C:\WINDOWS\system32\c2c.dll Infected: Backdoor.Win32.Delf.ahv
C:\WINDOWS\system32\i Infected: Trojan-Downloader.BAT.Ftp.ab
C:\WINDOWS\system32\ndt32.exe Infected: Backdoor.Win32.Rbot.gen
C:\WINDOWS\system32\o Infected: Trojan-Downloader.BAT.Ftp.ab
D:\Internet\LimeWire_Pro_v4.9.30.1.exe Infected: Backdoor.Win32.Delf.ahv

Scan process completed.

Despues instale el spyboy ad-adware se, el SpywareBlaster hata el de microfost

y parece q ando mejor aunq un tiempo no se me quitaba ese ndt32.exe q vi en otro foro, nose como logre q ya no apareciera, es decir por mas q borrara sus registros volvia, ahora tengo el ftp.exe y ese cmd.exe, y los borro paso los antivirus y siguen ahi lo peor es q me quitan la conexion :(

Gracias

Hola ThellyRaul, te doy la bienvenida al Foro de InfoSpyware.

Bueno en tu caso hay varios virus pero no salen en HijackThis ya que esta no es la especialidad de este programa y vamos a sacarlos con otras herramientas.

Para empezar desinstala el programa "LimeWire Pro v4.9.30.1" si todavia lo tenes ya que este esta infectado y sigue infectando tu equipo.

Con el programa "KillBox" elimina estos archivos:

D:\Internet\LimeWire_Pro_v4.9.30.1.exe
C:\WINDOWS\system32\ndt32.exe
C:\WINDOWS\system32\c2c.dll
C:\WINDOWS\system32\i Infected
C:\WINDOWS\system32\o Infected
C:\Documents and Settings\Raul\.jpi_cache\jar\1.0\count.jar-7e84fe99-4f8cdeb8.zip

Realiza un escaneo online con "Ewido Scanner Online"

Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos pegas un nuevo log contándonos los resultados.

Salu2

Hola, gracias por la bienvenida, no escribi antes porq toy en examenes y no tuve mucho tiempo y justo se me viene a malograr, hice lo q me dijiste y aparentemente no hay nada, como ya me paso antes, ojala no vuelva a aparecer, solo ese mdm.exe me preocupa pero creo q esta bien
:(

el "Ewido Scanner Online" solo me detecto, un spy de el craagle.exe q ya lo borre...
y desintale mi limewire :(
Ya habia tenido muchos problemas con ese ndt32.exe incluso formatee todo mi disco le quite las paticiones y le puse de nuevo 2 c y d y nada volvio a aparecer sera algo q instalo pero q si apenas instalaba mi tarjeta de red ni bien reiniciaba mi compu aparecia :(

Logfile of HijackThis v1.99.1
Scan saved at 23:26:52, on 08/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
c:\windows\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\windows\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
d:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
d:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
D:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
D:\Archivos de Programa\ProceXP\procexp.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\mdm.exe
D:\Archivos de Programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG7_CC] d:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [gcasServ] "D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1131296258203
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7EBD443-A8FE-45FC-8F05-A1F6228FBE2B}: NameServer = 200.48.225.130,200.48.225.146
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - d:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - d:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Edit !!!!
Yo solo usaba el procexp y ahora justo despues de escribir lo anterior lo abro y veo
dentro del issas.exe un cmd.exe y dentro de este un ftp.exe esos son normales?
Saludos

El mdm.exe es de Windows, si no lo quieres deshabilita el servicio "Machine Debug Manager".

El log está limpio.

Tener el cmd.exe y el ftp.exe ejecutándose cuando no los estás ejecutando tú, no es normal. Analiza el sistema con el Kaspersky online y pega el reporte.

Holas
Si tienes razon yo no los ejecuto yo uso el office no mas q por cierto esta mal uso java, easyphp, sqlserver, pero estos dias nada de eso

y ejectute el antivirus del kaspersky y me salio lo q temia sigo infectado pero esos ya los habia borrado, bueno

Total number of scanned files: 24646
Number of viruses found: 1
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 1179.453 sec

C:\WINDOWS\system32\i Trojan-Down...der.BAT.Ftp.ab send

C:\WINDOWS\system32\o Trojan-Down...der.BAT.Ftp.ab

Agarre y los borre con killbox y le pase el diskcleaner y limpie los registros con regseeker
Q puedo hacer ... :(
Q no vuelvan a aparece, ya tengo q ir a dar mi examen oajala cuando regrese ya no haya nada ... :(

Saludos



/*////////
Edit
Si bueno ya los borre los archivos el i y el o
Y use 3 veces la compu despues de eso y no aparecen el ftp ni el cmd.exe
lo q no suelta es el mdm.exe que yo sepa no lo ejecuto o si ?? ashh eso de los procesos de windows... me gustaria conocerlos
bueno se q esto no es un chat gracias por solucionar mi problema
Saludos

No es que lo ejecutes tú el mdm.exe, es un servicio de Windows que se carga al iniciar el sistema. Puedes deshabilitarlo desde Panel de Control> Herramientas administrativas> Servicios.

Comenta los resultados para dar el tema por solucionado.

ok, parece q todo esta bien aunq me volvio a aparecer ese c:\windows\system32\o
pero el i no... ya lo borre y borre en modo a prueba de fallos y lime los registros y ahora va bien
Gracias por su ayuda :D