Autor Tema: INFECCIÓN Trojan SkinTrim, (SOLUCIONADO) (Leído 22564 veces)

171278 · « **Respuesta #10 en:** 30 de Enero de 2007, 04:15:41 pm »

Dame la ruta de esos procesos que encontraste y saca un nuevo log, lo copias con el documento de texto minimizado y lo pegas, ya que si te fijas asi como lo pegaste es muy dificil leerlo.
Ademas Haz un par de Scan on line

http://www.pandasoftware.com/products/acti...n_principal.htm
http://www.kaspersky.com/beta?product=161744315
http://housecall.trendmicro.com/
http://www.bitdefender.com/scan8/
http://www.ravantivirus.com/scan/
http://www.windowsecurity.com/trojanscan/
http://us.mcafee.com/root/mfs/default.asp
http://security.symantec.com/sscv6/default...id=ie&venid=sym

Pega los resultados de los Scan y un nuevo log de HijackThis.

Un Saludo

BATWB · « **Respuesta #11 en:** 30 de Enero de 2007, 05:47:16 pm »

Respecto a la ruta de los procesos guard.exe y helpctl.exe no se como mirarte la ruta, yo lo vi en el administrador de tareas/procesos, si me explicas como lo he de hacer te lo cuelgo lo que pasa que ahora no estan pero ayer finalicé helpctl.exe y hoy al arrancar he finalizado el guard.exe que corria desde el inicio.

No se a que te refieres cuando dices que el log lo pegue minimizado el documento de texto pero voy a intentarlo, siempre los copio de igual manera:
Logfile of HijackThis v1.99.1
Scan saved at 17:40:09, on 30/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\LAD\SEGURETAT\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101920745845
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4950/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A157816-4A4F-496C-AF72-BCBDE9036576}: NameServer = 62.151.2.8,62.151.8.100
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Espero que te valga, no se pegarlo de otro modo. Supongo que si cuando se ejecutan los procesos saco un log hijackthis sale la ruta no? El problema es que desde que tengo este problema cuando hago un escaneo con qualquiera de los ad-aware/spyboot/avg me consume al 100% cuando antes me sobraban recursos para hacer otras cosas y cuando el troyano se activa estamos en la misma. Hoy tambien ha consumido casi el 100% el iexplore.exe.

Tambien he hecho un scan con los 3 antiespias y solo el spyboot me ha encontrado el SPIONFREI en tres entradas las quales ya he borrado pero tengo la ruta del registro por si te es de interés.

Bueno pues ahora voy a volver a realizar los scan online y ya te cuento, gracias.

171278 · « **Respuesta #12 en:** 30 de Enero de 2007, 06:02:19 pm »

Citar

Respecto a la ruta de los procesos guard.exe y helpctl.exe no se como mirarte la ruta, yo lo vi en el administrador de tareas/procesos, si me explicas como lo he de hacer te lo cuelgo lo que pasa que ahora no estan pero ayer finalicé helpctl.exe y hoy al arrancar he finalizado el guard.exe que corria desde el inicio.

Usa el buscador de windows, para encontrarlos, tilda la opcion de buscar en carpetas y archivos ocultos.
Ambos procesos son legales, dependiendo de la ruta en la que se ubiquen, asi que no borres o finalices nada, ya que sino no saldran en el log de HijackThis.

Citar

No se a que te refieres cuando dices que el log lo pegue minimizado el documento de texto pero voy a intentarlo, siempre los copio de igual manera:

Ahora esta bien pegado, sino compara los dos ultimos.
El log esta limpio, pega cuando los tengas los resultados integros de los Scan. (Elimina todos los archivos en cuarentena que tengas y cookies antes)

Un Saludo

BATWB · « **Respuesta #13 en:** 30 de Enero de 2007, 09:12:33 pm »

El helpctl no lo ha encontrado, el guard.exe -1CEZBA9F.pf está en c\windows\Prefectch y guard.exe en c\Archivos de programa\grisoft\AVG-Anty-Spyware.

El panda active scan no me ha encontrado nada.
El Trend Micro me ha encontrado lo siguiente:
ADWARE_BESTOFFERS
   1   Infecciones

Más información sobre este grayware/spyware...
Información general sobre este tipo de grayware/spyware
En estos momentos no se dispone de más información sobre este grayware/spyware...
Información general sobre este tipo de grayware/spyware
This adware is a plugin that can monitor or manipulate a user's Internet activity, usually posing as a toolbar or a search aid in the Internet browser. It genera...
Otros nombres:   Win-Trojan/Clicker.83456 (Ahnlab), Adware.Bestofer (Ikarus), PAK:PE_Patch.PFD (Kaspersky), Adware-abetterintrnt (McAfee), Win32/Adware.BestOffer (Nod32), Trj|Downloader.FLS (Panda), The Best Offers Network (PestPatrol)
Plataforma:   Sin datos
Primera aparición:   Sin datos
Clasificación de riesgo general       Muy bajoBajoMedioAlto
Información general sobre este tipo de grayware/spyware

This adware is a plugin that can monitor or manipulate a user's Internet activity, usually posing as a toolbar or a search aid in the Internet browser.

It generates pop-up advertisements.

It hijacks the Internet browser settings. Hence, the start page or search page of the browser may be changed from the usual user-defined settings.

It has the ability to retrieve and install additional adware or spyware on your computer.

It installs itself as a toolbar.
________________________________________________________________
CRCK_RAXCOPERF.A
   1   Infecciones

Más información sobre este grayware/spyware...
Información general sobre este tipo de grayware/spyware
En estos momentos no se dispone de más información sobre este grayware/spyware...
Información general sobre este tipo de grayware/spyware
Otros nombres:   No se conocen otros nombres
Plataforma:   Sin datos
Primera aparición:   Sin datos
Clasificación de riesgo general       Muy bajoBajoMedioAlto
Información general sobre este tipo de grayware/spyware

Algunas infecciones de este grayware/spyware no se han podido eliminar automáticamente.
Haga clic aquí para conocer instrucciones de eliminación manual de estas infecciones.
Opciones de limpieza Limpiar automáticamente todas las infecciones detectadas
Seleccionar individualmente la acción para cada infección detectada
Infecciones por grayware o spywareNo realizar ninguna acción para la fila seleccionadaAl seleccionar esta columna se limpiará la infección correspondiente.Atención: si selecciona esta columna se eliminará la infección correspondiente (por ej. archivos infectados) del disco duro.Infecciones de este grayware o spywareAquí puede ver todas las infecciones que ha causado el grayware o el spyware anterior.CausaEsta columna indica la causa del error de limpieza.El sistema ha denegado el acceso al archivo.La limpieza no es compatible con el patrón actual.
TITLE_OF_GRAYWARE
   0    Infecciones

Más información sobre este grayware/spyware...
Información general sobre este tipo de grayware/spyware
En estos momentos no se dispone de más información sobre este grayware/spyware...
Información general sobre este tipo de grayware/spyware
Otros nombres:   No se conocen otros nombres
Plataforma:   Sin datos
Primera aparición:   Sin datos
Clasificación de riesgo general       Muy bajoBajoMedioAlto
Información general sobre este tipo de grayware/spyware

Algunas infecciones de este grayware/spyware no se han podido eliminar automáticamente.
Haga clic aquí para conocer instrucciones de eliminación manual de estas infecciones.
Opciones de limpieza Limpiar automáticamente todas las infecciones detectadas
Seleccionar individualmente la acción para cada infección detectada
Infecciones por grayware o spywareNo realizar ninguna acción para la fila seleccionadaAl seleccionar esta columna se limpiará la infección correspondiente.Atención: si selecciona esta columna se eliminará la infección correspondiente (por ej. archivos infectados) del disco duro.Infecciones de este grayware o spywareAquí puede ver todas las infecciones que ha causado el grayware o el spyware anterior.CausaEsta columna indica la causa del error de limpieza.El sistema ha denegado el acceso al archivo.La limpieza no es compatible con el patrón actual.
Cookies HTTP
   0    Detecciones
Una cookie (literalmente, galleta) se utiliza generalmente para almacenar datos relacionados con el usuario de una transacción de Internet que se ha realizado mediante un explorador con un servidor Web. Las cookies que se indican aquí son las llamadas "de perfil ", que tienen como único objetivo espiar sus hábitos de uso.
Opciones de limpieza Eliminar todas las cookies detectadas
Seleccionar individualmente la acción para cada cookie detectada
Conservar esta cookieEliminar esta cookieCookiesLas cookies mostradas se clasifican como peligrosas.CausaEsta columna indica la causa del error de limpieza.El sistema ha denegado el acceso a la cookie.La eliminación no es compatible con el patrón actual.
Vulnerabilidades de seguridad detectadas
TITLE_OF_VULNERABILITY

Aquí te pego un nuevo log del hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 21:12:34, on 30/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\LAD\SEGURETAT\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101920745845
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4950/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A157816-4A4F-496C-AF72-BCBDE9036576}: NameServer = 62.151.2.8,62.151.8.100
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Salu2

171278 · « **Respuesta #14 en:** 30 de Enero de 2007, 09:27:55 pm »

Tu log esta completamente limpio, el report del Scan no me dice la ruta del Adware (Aunque creo que sera una Cookie)
Repitelo en McAfee y pega el report. (No hacen falta mas logs)
Ademas comenta como va ahora el PC.

Un Saludo

BATWB · « **Respuesta #15 en:** 31 de Enero de 2007, 08:32:28 am »

Ahora no puedo realizar el escaneo, lo hare mas tarde, pero aquí te pego un log hijackthis con el guard.exe corriendo; se carga al inicio del windows:

Logfile of HijackThis v1.99.1
Scan saved at 8:22:09, on 31/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
D:\LAD\SEGURETAT\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101920745845
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4950/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A157816-4A4F-496C-AF72-BCBDE9036576}: NameServer = 62.151.2.8,62.151.8.100
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Ahora el ordenador va bien pero no va como antes de que empezara todo, me explico, enseguida consume muchos recursos con nada que haga. Cualquier analisis con unos de los antiespias me consume como mínimo cerca de un 80% de recursos y no creo que sea normal. Antes tenia el outpost y el nod pero ahora he cambiado al kaspersky y no se si puede tener alguna relación...

Bueno pues eso que luego haré el scaneo con el mcafee y te pego el report, buenos dias y salu2

171278 · « **Respuesta #16 en:** 31 de Enero de 2007, 04:20:56 pm »

El log esta totalmente limpio y si el KaspersKy consume mas que el Nod32.
Pega el report y desfragmenta la unidad, ademas de liberar espacio en el disco.

Un Saludo

BATWB · « **Respuesta #17 en:** 31 de Enero de 2007, 08:40:04 pm »

Hola,
ya he pasado el mcafee y no me ha encontrado nada. No hace mas de una semana que desfragmente completamente el pc y no hay nada para liberar.
Ahora parece que funciona mejor y consume menos o parecido a lo que solia. Lo que no entiendo es porque el kaspersky is 6.0 de tanto en cuanto me informa de que algun programa se ha modificado, por ejemplo el firefox, y me pide que le vuelva a autorizar la conexion todo y que ya tiene reglas para el. Porque se modifican si no los actualizo?
He recuperado un programilla antitroyanos, el TrojanRemover y me ha informado de lo siguiente, lo que pasa que no se que hacer respecto de dejarlo tal como está o eliminarlo o renombrarlo:

The following file is called by the Windows Registry at boot time:
C:\WINDOWS\System32\nvsvc32.exe
An executable file with this name *has not* been found (it may not exist)

The program is loaded by the following Registry key
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NVSvc\"ImagePath"
________________________________________________________________
The Windows registry attempts to load this file at boot time:
C:\WINDOWS\System32\Drivers\sptd.sys

The program is loaded by the following Registry key:
HKLM\SYSTEM\CurrentControlSet\Services\sptd
_______________________________________________________________
The Windows registry attempts to load this file at boot time:
C:\WINDOWS\System32\Drivers\vaxscsi.sys

The program is loaded by the following Registry key:
HKLM\SYSTEM\CurrentControlSet\Services\vaxscsi

Salu2

171278 · « **Respuesta #18 en:** 31 de Enero de 2007, 11:36:14 pm »

Citar

Lo que no entiendo es porque el kaspersky is 6.0 de tanto en cuanto me informa de que algun programa se ha modificado, por ejemplo el firefox, y me pide que le vuelva a autorizar la conexion todo y que ya tiene reglas para el. Porque se modifican si no los actualizo?

Cualquier programa puede modificar infimamente el navegador, por eso te pasa o simplemente una pequeña infeccion y el kasperKy da el coñazo. (Es lo normal ahora que lo controlan todo)
A mi por ejemplo el McAfee me avisa hasta cuando le cambio el tamaño a la ventana del navegador

Citar

The following file is called by the Windows Registry at boot time:
C:\WINDOWS\System32\nvsvc32.exe
An executable file with this name *has not* been found (it may not exist)

Es legal y pertenece a la tarjeta NVidia y te dice que no encuentra el archivo para ejecutar ese programa, nada mas.

Con el resto lo mismo, te dice que ese registro intenta iniciarse con el boot del sistema.

La verdad es que si no te dice que estas infectado, yo lo dejaria asi.

Un Saludo

BATWB · « **Respuesta #19 en:** 06 de Febrero de 2007, 06:02:27 am »

Buenas,
todos estos dias he estado controlando el tema y no ha vuelto ha quedar-se lelo en ningún momento ni hay ningún recurso que consuma desmesuradamente. Sigo controlando con scans de todo tipo y ninguno me detecta infección alguna, así que como tu dices lo voy ha dejar así.
Muchas gracias 171278 por aguantar el coñazo con mis logs y sobretodo por tu inestimable ayuda

Salu2

Noticias:

Autor Tema: INFECCIÓN Trojan SkinTrim, (SOLUCIONADO) (Leído 22564 veces)

171278

Re: INFECCIÓN Trojan SkinTrim, ayuda.

BATWB

Re: INFECCIÓN Trojan SkinTrim, ayuda.

171278

Re: INFECCIÓN Trojan SkinTrim, ayuda.

BATWB

Re: INFECCIÓN Trojan SkinTrim, ayuda.

171278

Re: INFECCIÓN Trojan SkinTrim, ayuda.

BATWB

Re: INFECCIÓN Trojan SkinTrim, ayuda.

171278

Re: INFECCIÓN Trojan SkinTrim, ayuda.

BATWB

Re: INFECCIÓN Trojan SkinTrim, ayuda.

171278

Re: INFECCIÓN Trojan SkinTrim, ayuda.

BATWB

Re: INFECCIÓN Trojan SkinTrim, ayuda.