Tema: Multitud de troyanos y spyware

[Helheim]

Hola, me gustaria que le echarais un vistazo a este log del Hijackthis que he hecho de mi ordenador para comprobar si tengo algun spyware o algo anomalo puesto que esta mañana se me infectó el pc y estuve intentando desinfectarlo. Os explico lo que hice:

En primer lugar reinicie en modo a prueba de fallos, Desactive Restaurar Sistema. Posteriormente pase el AD-Aware SE Personal, el Spybot, limpie los archivos temporales con el Diskcleaner y el registro con el Regseeker. Luego pase el Ewido y el Kaspersky y por ultimo aqui teneis el Hijackthis:

Código: [Seleccionar]

Logfile of HijackThis v1.99.1
Scan saved at 19:46:39, on 04/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\dfndrff_e22.exe
C:\kybrdff_e22.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\totalcmd\TOTALCMD.EXE
D:\Descargas\Programas Proteccion PC\Antispyware\Hijackthis\Programa Descomprimido\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Archivos de programa\Deskbar\deskbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Archivos de programa\Deskbar\deskbar.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Just Cause
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e22.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e22.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Spy Sweeper Fix.lnk = C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperFix.bat
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: Ò×Ȥ¹ºÎï - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147806902328
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe



P.D: Os tengo que decir que cuando he pasado Spybot me encuentra una serie de problemas y cuando intento repararlo me dice que dichos problemas no se han podido arreglar porque los archivos implicados estan siendo usados en memoria. Me dice que si deseo que Spybot trate de eliminarlos en cuanto reinicie, le digo que si y reinicio pero me vuelve a comunicar lo mismo el Spybot.

Los problemas que no se pueden arreglar son:

- Windows Security Internet Explorer (que supuestamente se arregla pero que seguidamente me vuelve a aparecer cuando el ordenador se reinicia).

- Smitfraud-C, que no me deja quitarlo.

A ver si alguien puede echarme un cable (al cuello no...).

[destroyer]

Hola:
Bienvenid@ al foro.

A ver que te comentan los entendidos en estos temas   

Un saludo

[171278]

Actualiza tu sistema, Aqui
Pasale el Ewido. (Actualizalo)
Y esta aplicacion tambien, esta al final de la pagina (No necesita instalacion, dale si a todo)
ElistarA
Borra todas las cookies y el registro con CCleaner:

Pega un nuevo Log del Hijackthis, el Report del Ewido y ElistarA (Que estara en C: Infosat).

Un Saludo

[Helheim]

Hola 171278. Parece que se ha solucionado la cosa con lo que me comentaste.

Muchas gracias.

[destroyer]

Hola:
 Quizá sería interesante le pegases los logs de Hijackthis y autoruns para que te comenten si quedó algun resto por ahi.. pero vamos, eso ya a tu criterio amigo

Un saludo

[171278]

Hola Helheim, acacbo de volver a revisar tu log, y seria conveniente hicieras lo dicho por destroyer, ya que si bien no estabas muy infectado, no creo que lograras eliminarlo todo.

Un Saludo.

PD: Si pegas los nuevos log, no olvides los reports.

[jennings]

Vi que se te ha soluciando el problema, pero de todos modos queria aconsejarte algunas cosas, por si se te infecta la maquina.

Si te parece que tu maquina esta infectada, puedes ir al task manager y revisar si hay algun proceso que te parezca raro.
Siguiente, escribes en google el proceso que te parecio raro y ahi te aparecera toda la informacion relacionada.

Creo que varios en este foro, como yo, te recomendarian descargar el firefox para navegar en la internet, ya que el IE tiene varios agujeros (graves) de seguridad.

Mi ultimo consejo es que cada vez que tu maquina te parezca "rara" vayas a c:/windows/system32 y te fijes ahi si a ocurrido algun cambio inesperado. Tambien te recomiendo que revises c:/archivos de programa, por que hay mucho spyware que suele entrar ahi.

Gracias

[171278]

jennings

Si te parece que tu maquina esta infectada, puedes ir al task manager y revisar si hay algun proceso que te parezca raro.
Siguiente, escribes en google el proceso que te parecio raro y ahi te aparecera toda la informacion relacionada.

Cuando se revisa un proceso en Google hy que tener mucho cuidado, no solo por que la gente del enlace que revisas se puede equivocar, sino porque la diferencia entre un Malware y un Proceso legal, suele estar en la posicion de ese Proceso... Estoy harto de ver como la gente tiene que formatear o reponer DLL por borrar lo que no debe. A la hora de un problema de este tipo, lo mejor es postear en Webs especializadas y esperar una buena ayuda.
Por cierto, muchas veces no hay informacion de los procesos en la red.

Creo que varios en este foro, como yo, te recomendarian descargar el firefox para navegar en la internet, ya que el IE tiene varios agujeros (graves) de seguridad.

Ambos tienen agujeros (El Explorer mas que el Firefox) El mejor ahora mismo es el OPERA.

Un Saludo