SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware
Trojan-Spy.Win32.KeyLogger.es
FatsGordon:
Hola, había un tema con el BlackICE hace tiempo, no sé cómo ha quedado, pero lo dejaba mal parado. El tema estaba en la web de Steve Gibson, http://grc.com , específicamente hay un test para probar el BlackICE en http://grc.com/lt/leaktest.htm , aunque creo que ya no lo tenés instalado y sí el ZoneAlarm. Si tenés los dos, eliminá el BlackICE, dos firewalls no solo no son más defensa sino que pueden interferirse mutuamente.
Concentrándonos en el log, hacé lo siguiente: extraé el HijackThis a una carpeta (por ejemplo C:\HijackThis), no lo uses desde el archivo comprimido porque el HT realiza backups y los coloca en el directorio donde se encuentre; si está dentro de un archivo comprimido no puede hacerlo, por más que se lo descomprima al temporal, como en este caso. Una vez hecho eso reiniciá la máquina en modo seguro ( F8 ), abrí el HijackThis, apretá el segundo botón y marcá SÓLO las siguientes entradas:
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} (ReveladoOnlineX Control) - https://www.fotoprix.es/ReveladoOnline/SetupReveladoOnline.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
Luego apretá Fix checked, reiniciá la máquina en modo seguro nuevamente, generá un nuevo log de HijackThis y publicalo aquí mismo, junto a tus impresiones sobre cómo anda todo.
FatsGordon:
Agrego que no encuentro al keylogger en el log. ¿Alguien lo ve? :what:
virima:
Bueno, pues dicho y hecho. Este es el nuevo informe después de las instrucciones:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\NavNT\defwatch.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\NavNT\rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\Archivos de programa\NavNT\vptray.exe
C:\ARCHIV~1\GENIUS~1\mouseElf.exe
C:\Archivos de programa\SpyStopper\spystopper.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\VM_STI.EXE
C:\Archivos de programa\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programaAcrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [vptray] C:\Archivos de programa\NavNT\vptray.exe
O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\GENIUS~1\mouseElf.exe
O4 - HKLM\..\Run: [SpyStopper] C:\Archivos de programa\SpyStopper\spystopper.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VideoCAM Web V3
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\ZoneAlarm\zlclient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133630377328
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4645/mcfscan.cab
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\NavNT\defwatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Norton Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\NavNT\rtvscan.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
Me comentabáis que no veiáis rastro del keylogger, los programas antispyware que tengo tampoco (y los paso en modo seguro). El karspersky online me dice esto:
C:\WINDOWS\serial.dll Infected: Trojan-Spy.Win32.KeyLogger.es
No sé si es una paronoia de este antivirus o es que el resto programas, antivirus online, etc, no son muy competentes....
En fin, yo me pongo en vuestras manos :victory:. Gracias de nuevo.
FatsGordon:
Vamos a hacer un par de cosas:
1- Encontrá el archivo C:\WINDOWS\serial.dll y hacele un click derecho. Ahí, en Propiedades te van a aparecer varias pestañas. Fijate en la que diga Versión de quién es el archivo. Por ejemplo, el archivo C:\WINDOWS\sdkinst.dll en mi máquina dice que es de Microsoft:
--- Citar ---SDK Update ActiveX Control
© Microsoft Corporation. All rights reserved.
--- Fin de la cita ---
Eso nos dará alguna idea. Por favor contanos qué dice.
2- Si tenés WinZip hacé un click derecho sobre el archivo, luego en WinZip y luego en Add to serial.zip o el equivalente en español para crear un archivo zipeado. Enviámelo por mail a (sin los espacios) fatsgordon @ yahoo.com.ar que lo voy a analizar.
Espero tus respuestas.
Mr_X:
Antes de revisar con los "antimalware" DESHABILITA el "Restaurar el sistema", actualízalos, reinicia en Modo seguro y haz la revisión...
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa