Saludos,
Tengo problemas con el winlogonhook junto con otros troyanos según lo que me dice el reporte del SpySweeper (no registrado). Como antivirus tengo el AVG que de cuando en cuando me alerta sobre un win6A8.tmp.exe y otros, como si el nombrre se generara aleatoriamente. Le doy a Heal o Move to Vault y de momento parece funcionar, pero luego aparece de nuevo una y otra vez.

He revisado algunos posts con problemas similares, pero el log es un poco diferente y no quisiera mover algo indebido del registro. Les suplico que me ayuden

Akí está el log del HJT:

Logfile of HijackThis v1.99.1
Scan saved at 06:15:54 p.m., on 07/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
D:\Programas\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
D:\Messenger Plus\MsgPlus.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Archivos de programa\USB Flash Disk Utility\UFD Utility\UFDMon.exe
C:\Archivos de programa\USB Flash Disk Utility\UFD Utility\USBTD.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
D:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Messenger Plus\MsgPlus.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [UFD Monitor] C:\Archivos de programa\USB Flash Disk Utility\UFD Utility\UFDMon.exe
O4 - HKLM\..\Run: [UFD Utility] C:\Archivos de programa\USB Flash Disk Utility\UFD Utility\USBTD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Secrecy File & Folder Hider] D:\Programas\Secrecy File & Folder Hider\Secrethider.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134601017327
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134604254076
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winzoa32 - C:\WINDOWS\SYSTEM32\winzoa32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programas\Spyware Doctor\sdhelp.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe




También salvé logs del Ad-Aware, Spyware doctor y el mensaje final del DelPSGuard donde señala que eliminó dos elementos. No se si hacen falta.
Mil gracias de antemano!

Hola y Bienvenid@ a Forospyware!


Descarga las siguientes herramientas:

• Killbox
  
• Regseeker
  
• Disk Cleaner

Paso 1:

• Apaga restaurar sistema
  
• Configura el sistema para ver todos los archivos ocultos

Paso 2:

Ejecuta el hijackthis sin tener ningún otro programa abierto, marca y dale FixChecked a las siguientes
entradas:

O20 - Winlogon Notify: winzoa32 - C:\WINDOWS\SYSTEM32\winzoa32.dll



Paso 3:

• Reinicia el sistema en modo a prueba de fallos (modo seguro)

Copia y pega las siguientes entradas en el Killbox (una a la vez) donde dice "Full Path of File to Delete" y le das click al boton rojo con cruz blanca del programa para eliminar el archivo:

C:\WINDOWS\SYSTEM32\winzoa32.dll


Haz un chequeo con la herramienta Spy Sweeper


Limpia los temporales y cookies con el Disk Cleaner

Limpia el registro de windows con el Regseeker (pásalo varias veces hasta que no quede nada por limpiar)



Paso 4:

Reincia el sistema en modo normal

Haz un chequeo con los antivirus online Kaspersky y Ewido


Nos comentas como te fue y dejas un nuevo log para ver como quedó



Salu2

Saludos,
totalmente agradecido; pero con malas noticias:
Todo va bien hasta el paso 3. Una vez que le pido a KillBox ke elimine el archivo, la reiniciar ¿lo debo hacer en modo a prueba de fallos?
De cualuqier forma así lo hice, y al scanear con SpySweeper aparecen el winlogonhook y el wintective de nuevo.
Al correr el DiskCleaner siempre queda un archivo, lo elimino y al volver a scanear aparece otra vez.
En cuando al RegSeeker, ¿debo borrar TODOS los registros que me aparecen en la lista? La guía del foro sobre el RegSeeker no me ha quedado del todo clara.

Grax de nuevo!

Recuerdas que te pedí hacer unos chequeos online? bien, hazlos y deja los reportes acá


Sobre el regseeker, si, debes borrar todas las entradas




Salu2

Más y más gracias. =)

Aquí van los reportes del scaneo online:

__________________________________________________
ewido security suite online scanner
http://www.ewido.net
________________________________________________

Name: Downloader.Zlob.wv
Path: C:\Muestras\REGPERF.EXE.Muestra EliStartPage v11.99
Risk: High

Name: Trojan.Small
Path: C:\WINDOWS\system32\1024
Risk: High

Name: Trojan.Small
Path: C:\WINDOWS\system32\1024\ld3B39.tmp
Risk: High




El de Kaspersky estaba muy largo (El texto que has ingresado es muy largo (51975 caracteres). Por favor acórtalo a 35000 caracteres de largo.), así ke lo subí a la web:
http://www.angelfire.com/art/anaconda14/kaspersky.html

Desinstala el XsoftSpy porque es un falso antispyware


Con el killbox, elimina estos archivos:

D:\VIRUS temp\XoftSpy422_191.exe

C:\Muestras\REGPERF.EXE

C:\WINDOWS\system32\1024\ld3B39.tmp

Entra en la carpeta D:\Programas y de allí borra la carpeta XsoftSpy con todo su contenido


Luego, sigue los pasos para eliminar el PSGuard y sus variantes



Salu2

Saqué otro reporte del kaspersky por cualquier cosa:
http://www.angelfire.com/art/anaconda14/kaspersky.html

Y aquí va el log del ActiveScan:

Incident Status Location

Spyware:Cookie/ademails Not disinfected C:\Documents and Settings\Propietario\Cookies\propietario@www.adema ils[1].txt
Spyware:Cookie/2o7 Not disinfected C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\e6spp47a.default \cookies.txt[.2o7.net/]
Spyware:Cookie/YieldManager Not disinfected C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\e6spp47a.default \cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/Tribalfusion Not disinfected C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\e6spp47a.default \cookies.txt[.tribalfusion.com/]
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\e6spp47a.default \cookies.txt[.doubleclick.net/]
Spyware:Cookie/Overture Not disinfected C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\e6spp47a.default \cookies.txt[.perf.overture.com/]
Spyware:Cookie/RealMedia Not disinfected C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\e6spp47a.default \cookies.txt[.realmedia.com/]


= saké un reporte del spysweep:
Your Sweep Options indicate the following will be swept:
Drives: C: D: E:
Also sweeping: Memory, Cookies, Registry
Trojan Horse found: trojan agent winlogonhook
Spy Cookie found: ademails.com cookie
Full Sweep has completed. Elapsed time 00:35:24
Traces Found: 15



y una pregunta: ¿es posible que el avg detecte como virus al backup que hace Kilbox?

Bien, los reportes no muestran nada malo ya en realidad, muchos antispyware, antivirus y demás muestran las cookies como archivos de cuidado, sin embargo no todas las cookies lo son

De igual forma, puedes borrar las cookies desde el mismo navegador o con el disk cleaner


Sobre tu pregunta del AVG, si, es válido que detecte el backup que crea el killbox porque dicho programa no desinfecta en lo absoluto, solo borra




Salu2

Qué hay de lo que dice el reporte del SpySweep? Aunque en el reporte no aparece, al hacer el sweep, me dice que hay 13 'traces' del winlogonhook. Y si en realidad sigue ahí... ké tan complicado sería vivir con él?
jejejeje

De una u otra forma, mil gracias por todo.

Los traces que está consiguiendo el spy sweeper, normalmente se refieren a rastros que quedaron de una infección previa, mas no indica que haya infección, solo que alguna vez la hubo y dejó algunas claves en el registro de windows que ya no son utilizadas por el sistema


En dicho caso, podrías ejecutar el spy sweeper en modo a prueba de fallos a ver si logra sacar esas entradas que quedan o bien, tratar de obtener un reporte del spy sweeper detallado donde se muestren las direcciones de lo que tienes que borrar


De todas maneras te aclaro que la palabra "traces" no significa infección, significa "rastros", algo que quedó que sin embargo no es perjudicial para tu sistema


Me cuentas



Salu2