Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola ...
Es la primera vez que posteo aqui, ya que he tenido varios problemas
en estos tiempos con virus troyanos etc y he podido solucionarlo siempre.
Pero en esta ocasion me resulta dificil encontrar en donde esta
el Troyanito creo...
Les explico...
Hace un par de dias me di cuenta, por ejemplo con firefox, que algunas
paginas no cargaban, otras se redireccionaban etc. Pense que era
mi conexion, pero con IE las cargaba sin problemas. Parecia un problema
de Firefox. Luego note que varios programas no se ejecutaban, que al
querer usar el regedit, este aparecia unos segundos y desaparecia.
Otra cosa rara, ya que suelo mirar el administrador de tareas es que
el driver de ATI (ati2evxx.exe) que antes aparecia 2 veces y todo funcionaba
bien, ahora no aparece. Como si estuviera tomado por otro proceso.
He corrido algunos antivirus antitroyanos pero todo sigue igual.
Si alguien puede darme una ayuda, muchas gracias.

Hola osoronoso bienvenid@ al foro de InfoSpyware


Descarga Actualiza y Ejecuta en Modo Completo MalwareBytes-anti malware (leer manual) Manda a cuarentena lo detectado por MalwareBytes para luego poder eliminarlo, apretando en el botón quitar seleccionado.luego de reiniciar la pc en la pestaña registros abri el log para copiar y pegar en este tema.


Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generará un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Saludos

Gracias por responder Damian.
Te cuento que varios programas entre ellos el malwarebytes
anti-malware como otros no los puedo ejecutar, se cierran a
los pocos segundos y otros directamente ni corren.
Extrañamente vi que Winlogon, que no esta infectado ya que lo
compare con el cd de XP, continuamente esta creando un archivo
temporal siempre con el mismo nombre y tamaño y ese archivo
tiene el header de un ejecutable. No se si esto sera normal.
Tendria que probar arrancar el sistema con un CD tipo Hiren's
con algun antivirus/troyano a ver que pasa.
Otra cosa es que no puedo entrar en modo seguro, se cuelga
y ahi queda.
Gracias por la atencion.

Realiza lo siguiente con esta herramienta:
Descárgate el programa Kaspersky Rescue Disk - Manual.

Graba el Kaspersky Rescue Disk en un CD o DVD.

Prepara el ordenador para que arranque desde la unidad lectora de CD/DVD. Para ello tienes que:

• Reiniciar el ordenador y pulsar la tecla F2 cuando te salga el mensaje "Press F2..." o similar para entrar en la BIOS.
• Una vez dentro de la BIOS debes ir a Boot menu.
• Seleccionar la unidad lectora de CD/DVD (IDE1) y, pulsando la tecla F6, colocarla como disco primario o maestro (IDE0).
• Salir de la BIOS guardando todos los cambios.

Deja que el ordenador se reinicie y cuando empiece a hacerlo inserta el CD en el que has grabado el Kaspersky Rescue Disk.

Ejecuta el análisis antivirus del Kaspersky Rescue Disk y elimina todo lo que te encuentre.



Espero tus noticias.
Un saludo.

Hola Damian...
Sigo molestando con este tema. Te cuento que no detecto nada
el kaspersky. Al parecer esta limpio todo, y comienzo a sospechar
de alguna DLL que haya cambiado de version o haya desaparecido
y que sea la causa de que algunos programas no corren.
Curiosamente los programas que no corren intentan cargar, me voy
a fijar bien, los windows common controls del directorio WinSxS.
Creo que voy a tener que postear en otro lada ya que me parece
que no se trata de spyware.
Aca te dejo a ver que pensas el log del Hijack.
Gracias y saludos

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:39:09 p.m., on 20/10/2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
E:\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
E:\Logitech\Gaming Software\LWEMon.exe
E:\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\WINDOWS\System32\CTHELPER.EXE
D:\WINDOWS\System32\ctfmon.exe
E:\Java\jre6\bin\jqs.exe
D:\WINDOWS\System32\PSIService.exe
D:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
D:\Totalcmdv7\TOTALCMD.EXE
D:\Archivos de programa\Mozilla Firefox\firefox.exe
c:\Filemon\q\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = socks=
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: SnapFlash Class - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - D:\Archivos de programa\Archivos comunes\Justdo\Jd2002.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [StartCCC] "E:\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Start WingMan Profiler] E:\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Ad-Watch] E:\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [Enterra Icon Keeper] "C:\Icon Keeper\IcnKeepr.exe" ssp /s
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RegGenie v2.0 - Trial Expired] "E:\RegGenie\RegGenieOnRebootExpired.exe"
O4 - HKCU\..\Run: [RegGenie v2.0] "E:\RegGenie\RegGenieOnReboot.exe"
O4 - HKUS\S-1-5-21-1801674531-117609710-839522115-1003\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1801674531-117609710-839522115-1003\..\Run: [RegGenie v2.0 - Trial Expired] "E:\RegGenie\RegGenieOnRebootExpired.exe" (User '?')
O4 - HKUS\S-1-5-21-1801674531-117609710-839522115-1003\..\Run: [RegGenie v2.0] "E:\RegGenie\RegGenieOnReboot.exe" (User '?')
O8 - Extra context menu item: Abrir vínculo con Bulk Image Downloader - file://D:\Archivos de programa\Bulk Image Downloader\iemenu\iebidlink.htm
O8 - Extra context menu item: Abrir ésta página con Bulk Image Downloader - file://D:\Archivos de programa\Bulk Image Downloader\iemenu\iebid.htm
O8 - Extra context menu item: Agregar vínculo como tarea a Bulk Image Downloader - file://D:\Archivos de programa\Bulk Image Downloader\iemenu\iebidlinkqueue.htm
O8 - Extra context menu item: Agregar ésta pág. como tarea a Bulk Image Downloader - file://D:\Archivos de programa\Bulk Image Downloader\iemenu\iebidqueue.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Get Flash by FlashKeeper - C:\FlashKeeper\GetFlash.htm
O8 - Extra context menu item: Open in Page Scavenger - D:\Archivos de programa\Pedrosoft\Page Scavenger\\OpenInPageScavenger.htm
O8 - Extra context menu item: Save Flash with Flash Catcher - res://D:\Archivos de programa\Archivos comunes\Justdo\IECatcher.DLL/FlashCatcher.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O9 - Extra button: FlashKeeper - {86301D40-94C1-4a5e-843B-7F43965E364A} - C:\FlashKeeper\GetFlash.htm
O9 - Extra button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - D:\Archivos de programa\Archivos comunes\Justdo\IECatcher.DLL
O9 - Extra 'Tools' menuitem: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - D:\Archivos de programa\Archivos comunes\Justdo\IECatcher.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file://E:\Jigsaw Puzzle Platinum 2\Images\stg_drm.ocx
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/es/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217457476726
O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} - file://E:\Jigsaw Puzzle Platinum 2\Images\armhelper.ocx
O20 - Winlogon Notify: !SASWinLogon - C:\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Windows Audio Server (Audios) - Unknown owner - c:\Recycle\smsn.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - E:\\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - E:\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: ProtexisLicensing - Unknown owner - D:\WINDOWS\System32\PSIService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - E:\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - E:\Spyware Doctor\pctsSvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 7132 bytes

Busca en panel de control agregar/quitar programas:
RegGenie v2.0

Con todos los programas cerrados ejecutas hijackthis y le das a las siguientes entradas:

O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)

O4 - HKCU\..\Run: [RegGenie v2.0 - Trial Expired] "E:\RegGenie\RegGenieOnRebootExpired.exe"

O4 - HKCU\..\Run: [RegGenie v2.0] "E:\RegGenie\RegGenieOnReboot.exe"

O4 - HKUS\S-1-5-21-1801674531-117609710-839522115-1003\..\Run: [RegGenie v2.0 - Trial Expired] "E:\RegGenie\RegGenieOnRebootExpired.exe" (User '?')

O4 - HKUS\S-1-5-21-1801674531-117609710-839522115-1003\..\Run: [RegGenie v2.0] "E:\RegGenie\RegGenieOnReboot.exe" (User '?')

O8 - Extra context menu item: Open in Page Scavenger - D:Archivos de programaPedrosoftPage Scavenger\OpenInPageScavenger.htm

O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file://E:\Jigsaw Puzzle Platinum 2\Images\stg_drm.ocx

O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} - file://E:\Jigsaw Puzzle Platinum 2\Images\armhelper.ocx

O23 - Service: Windows Audio Server (Audios) - Unknown owner - c:\Recycle\smsn.exe (file missing)

Luego busca en archivos de programas:
E:\RegGenie y lo eliminas.

reinicia y comenta los resultados

Hola Damian, borre lo del Hijack, y siguio todo igual, pero
persevera y triunfaras... dice el refran, creo.

Encontre el 1er. problema y el que me tiro una "PISTA" fue el Spy Sweeper.
Luego de pasar los antivirus, antispyware, antirootkit, todos los ANTI que
podian correr en mi maquina, incluso un booteo limpio desde el kaspersky
no encontraba respuesta y parecia estar como puse antes TODO LIMPIO.
Pero segui probando otros programas y llego el turno del Spy Sweeper,
no es para hacerle propaganda claro esta. Al hacer un 'Barrido' como
se leia en la traduccion española aparecio un tal STORM.GEN.
Me habia bajado una version que si no la registras no te permite limpiar
los virus, troyanos etc. Deje como estaba y segui usando la maquina,
intente buscar alguna medicina para poder borrar el virus, pero no encontre
nada. Simplemente entonces me fije que clave me figuraba en el Spy Sweeper,
y borre con el Registry Manager, ya que no corria el Regedit, la clave.
Despues ejecute el Registry Winner, luego de probar el CCleaner y tambien
el RegGenie, y me informaba de una clave en el item 'Controladores' que decia
esto:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\D rivers32

valor: Midi9=D:\Docume~1\(mi nombre)\Config~1\egyet.bak 2nCCPGNHED

Se acuerdan que habia posteado que Winlogon siempre estaba creando un
archivo temporal con header de ejecutable, si si este era egyet.bak.
Borre directamente esta clave mas lo anterior y adios a los programas que
no querian correr. Mande un mail a la gente de CREATIVE, si podian
decirme si algun driver, en mi caso la SoundBlaster LIVE!, creaba este
valor, que me resulta extraño, pero no recibi respuesta. Despues de quitar
estas 2 entradas en el registro anda todo e incluso me aparece en el
administrador de tareas el driver de ATI ati2evxx.exe que habia desaparecido.
Gracias Damian por tu atencion y espero que esto le sirva a alguien y usen
siempre los traceadores como Filemon o Regmon que siempre algun dato
importante le tiran.
Gracias de nuevo y saludos.

Bueno me alegro de que hayas solucionado el problema y si tenes algun otro problema ya sabes donde encontrarnos

saludos

***Tema solucionado***