Tema: Agnitum-outpost firewall

[PEPA]

Logfile of HijackThis v1.97.7
Scan saved at 20:07:56, on 18/04/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\SBPCI\CTMIX32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\APVXDWIN.EXE
C:\WINDOWS\RunDLL.exe
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\PAVPROXY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPZIPM12.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\ESCRITORIO\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O4 - Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Troyan Explore Antivirus.LNK = C:\EXTROYAN\EXTROYAN.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38036.5440046296
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 80.58.0.33,80.58.32.97

--------------------------------------------------------------

StartupList report, 18/04/04, 20:09:52
StartupList version: 1.52
Started from : C:\WINDOWS\ESCRITORIO\HIJACKTHIS.EXE
Detected: Windows 98 SE (Win9x 4.10.2222A)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\SBPCI\CTMIX32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\APVXDWIN.EXE
C:\WINDOWS\RunDLL.exe
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE
C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\PAVPROXY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPZIPM12.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\ESCRITORIO\HIJACKTHIS.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\WINDOWS\Menú Inicio\Programas\Inicio]
Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

Shell folders Common Startup:
[C:\WINDOWS\All users\Menú Inicio\Programas\Inicio]
Troyan Explore Antivirus.LNK = C:\EXTROYAN\EXTROYAN.EXE

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ScanRegistry = C:\WINDOWS\scanregw.exe /autorun
TaskMonitor = C:\WINDOWS\taskmon.exe
SystemTray = SysTray.Exe
AtiPTA = Atiptaxx.exe
CreativeMixer = C:\SBPCI\ctmix32.exe /T
StillImageMonitor = C:\WINDOWS\SYSTEM\STIMON.EXE
HP Software Update = "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
APVXDWIN = "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
SchedulingAgent = mstask.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Taskbar Display Controls = RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:
(Created 17/4/2004, 20:14:28)

[Rename]
NUL=c:\windows\cookies\usuario@cgi-bin[1].txt
NUL=c:\windows\cookies\usuario@cgi-bin[1].txt

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

SET BLASTER=A220 I7 D1 H7 P330 T6
SET SBPCI=C:\SBPCI
SET PATH=C:\WINDOWS;C:\WINDOWS\COMMAND;C:\ARCHIV~1\PANDAS~1\PANDAA~1;%PATH%
mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=850
keyb sp,,C:\WINDOWS\COMMAND\keyboard.sys

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Optimización del inicio de aplicaciones.job
Mantenimiento-Desfragmentador de aplicacione.job
Mantenimiento-Scandisk.job
Mantenimiento-Liberador de disco.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[Update Class]
InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38036.5440046296

[Office Update Installation Engine]
InProcServer32 = C:\WINDOWS\OPUC.DLL
CODEBASE = http://office.microsoft.com/officeupdate/content/opuc.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------
End of report, 5.486 bytes
Report generated in 0,105 seconds

Command line options:
   /verbose  - to add additional info on each section
   /complete - to include empty sections and unsuspicious data
   /full     - to include several rarely-important sections
   /force9x  - to include Win9x-only startups even if running on WinNT
   /forcent  - to include WinNT-only startups even if running on Win9x
   /forceall - to include all Win9x and WinNT startups, regardless of platform
   /history  - to list version history only
-----------------------------------

[PEPA]

Me he bajado el a2, pero una cosa dime para que sirve y como funciona.

Me preguntas que es lo que me pasa, pues hace aproximadamente mas de dos semanas, cuando estaba en una pagina web y queria consultar algo de ella no podia abrirla pues la ventana en donde debia salir la informacion se queda en blanco es cuando os pedi socorro, yo me habia bajado por esas fechas el cortafuegos que aparece en las consultas y creia que podia ser algo que yo hubiera tocado sin saber, al tener respuesta vuestra al recibir el correo no podia tampoco abrir el vinculo, es cuando decidi desistalarme el cortafuegos que ahora mismo no tengo ninguno.

Lo que me baje fue el mozila o gorila como le llamo y es con el que puedo abrir vuestro vinculo y consultal algunas paginas otras me solicita plunig, bueno en resumen que no puedo ver informacion en las paginas.

Si necesitas algo mas especifico dimelo.

Ah! me voy a bajar ahora el Sygate Personal Firewall, dime esta en español para poder enterderlo mejor.

Un saludo

Pepa

[FatsGordon]

El a2 (y no 'helados') es un anti troyano al que los creadores le están tratando de poner todas las pilas y me parece que es confiable (por supuesto que hay otros más confiables, pero son pagos). Fijate de actualizarlo antes de usarlo. Creo que se puede usar en español.

El Sygate no recuerdo si está o no en español, pero puedo decirte que a mi me ha dado resultados.

Veamos si con lo que me dijiste podemos hacer que nos contesten algo...

[FatsGordon]

Perdón, se me escapó esto:

Te adjunto tambien Troyan Explore

A/DLR
Realizar las Tareas Siguientes Posibles:

Buscar en Agregar/Quitar Programas:
Hot_Pleasure, HotParty_ar, XXX_Action, Pleasure2, gaydesnudoses,
ya-videochat-porno14ar, Buscacancioesar, Chatpornoes, Celebs-Nude, MOVIES_AND_WEBCAMSar, Milesdecuriosidadeses, buscacocinaar,
DX-miosexes, Hobby-Hacker.com, Celebs-Nude, CamGirlsLive ToolBar,
Porn Turbo, GlobalDialer, Webdialer – OnlineDialer,
Webdialer - Account-li-thund00001, GMSoft, Adultoses y/o Supersexoes
y Desinstalarlos.

Iniciar en Modo APF (Ver Referencias), Después:

Editar en C:\Extroyan\ el Archivo Troyan.txt para Identificar
los Componentes Instalados y Borrarlos.

Varias Versiones
Nota: Incluye Winpup A y B, StarDialer, PVM, WinMuschi, Scom, etc.

¿Hiciste lo que se te pide aquí? ¿Encontraste algo? Es por eso que te pedía que bajaras el a2, para tener unasegunda opinión. ¿Es probable que tengas dialers no reconocidos aún por nadie? Si es así, sería harto interesante que enviaras lo que encuentres y antes de eliminarlo a la dirección que tengo abajo en mi firma para el envío de archivos.

¿Cómo? Bien, todo lo que encuentres ponelo en una carpeta en el escritorio, por ejemplo "dialers". Luego de eliminar lo que encuentres, hacé un paquete (zipeá) dicha carpeta y mandala con una breve descripción a Lavasoft para que lo analicen e incorporen a lo que ya detecta. Lo mismo sería interesante que se los enviaras a Andreas Haak, el creador del a2, dado que tratan de especializarse en dialers y les va a interesar mucho. Todo esto, claro, si encontrás algo...

El Alexa lo podés eliminar haciendo un nuevo escaneo con el Ad-aware y seleccionándolo cuando aparezca (y presionando Siguiente para que vaya a cuarentena). Una vez en cuarentena podés eliminarlo ingresando a cuarentena, seleccionando el archivo y eliminándolo apretando el botón correspondiente.

Por favor contame qué hallaste.

[FatsGordon]

De manera ABSOLUTAMENTE INDEPENDIENTE a lo que te pido más arriba, podría ser que hayamos encontrado la solución al problema de los hipervínculos, y esto gracias a otro LavaXpert, en este caso Option^Explicit:

I seen that before and this has always worked for me

http://support.microsoft.com/default.aspx?...b;EN-US;Q281679

It probably happened after an IE upgrade, or an installer such as the Word Suites, or typical (old)Office programs that try to install the IE5 components that is on the install disk.

La página en cuestión está en inglés, pero veremos si se puede traducir la solución:

RESOLUTION
To resolve this problem in Internet Explorer, follow these steps:

1. Quit all programs that are running.
2. Click Start, and then click Run.
3. Type regsvr32 urlmon.dll, and then click OK.
4. When you receive the "DllRegisterServer in urlmon.dll succeeded" message, click OK.

If this does not resolve the problem, repeat steps 2 through 4 for each of the following files (in step 3, replace Urlmon.dll with each of the file names below):

- Shdocvw.dll
- Msjava.dll
- Actxprxy.dll
- Oleaut32.dll
- Mshtml.dll
- Browseui.dll
- Shell32.dll (Windows XP and Windows 2000 only)

If the problem is still not resolved, verify that the following registry values are present and correct:

HKLM\SOFTWARE\Classes\Interface\{00020400-0000-0000-C000-000000000046}
Name: (Default)
Value: IDispatch

HKLM\SOFTWARE\Classes\Interface\{00020400-0000-0000-C000-000000000046}\ProxyStubClsid
Name: (Default)
Value: {00020420-0000-0000-C000-000000000046}

HKLM\SOFTWARE\Classes\Interface\{00020400-0000-0000-C000-000000000046}\ProxyStubClsid32
Name: (Default)
Value: {00020420-0000-0000-C000-000000000046}

If the problem is still not resolved, reinstall Internet Explorer. If you are using the version of Internet Explorer that is included with your operating system, reinstall or repair your operating system.

Creo que está claro. Lo que piden es registrar una (o unas) DLLs. En el primer caso:

1. Cierre todos los programas.
2. Haga click en Inicio y luego Ejecutar.
3. Escriba regsvr32 urlmon.dll, y luego haga click en Aceptar.
4. Cuando reciba el mensaje de que se registró satisfactoriamente, haga click en Aceptar.

Si esto no funciona, hacer lo mismo con todas las DLL que están listadas a continuación:

- Shdocvw.dll
- Msjava.dll
- Actxprxy.dll
- Oleaut32.dll
- Mshtml.dll
- Browseui.dll
- Shell32.dll (ésta sólo en Windows XP y Windows 2000)

Si esto no funciona, verificar que los siguientes valores del registro existen y son correctos:

HKLM\SOFTWARE\Classes\Interface\{00020400-0000-0000-C000-000000000046}
Name: (Default)
Value: IDispatch

HKLM\SOFTWARE\Classes\Interface\{00020400-0000-0000-C000-000000000046}\ProxyStubClsid
Name: (Default)
Value: {00020420-0000-0000-C000-000000000046}

HKLM\SOFTWARE\Classes\Interface\{00020400-0000-0000-C000-000000000046}\ProxyStubClsid32
Name: (Default)
Value: {00020420-0000-0000-C000-000000000046}

Si el problema aun persiste, reinstale Internet Explorer...

Por favor contame si esto te solucionó el problema... porque si es así, estábamos mirando otro canal...

[PEPA]

Hola, dime una cosa como busco en Agregar/Quitar programas que me indica el Troyan Explore, pues seguro que no se.

Donde me dice "Editar en C\el Archivo Troyan.txt para Identificar los Componentes Instalados y Borrarlos" dime concretamente que es lo que tengo que hacer?

Lo de Varias Versines
Nota: Incluye Winpup A y B, StarDialer, PVM, WinMuschi, Scom, etc que tengo que hacer

Un saludo

Pepa

[PEPA]

Estos me dice "no tiene progama asociado

- Shdocvw.dll
- Msjava.dll
- Actxprxy.dll
- Oleaut32.dll
- Mshtml.dll
- Browseui.dll

Y aqui en los tres donde pone Name dice "predeterminado"

HKLM\SOFTWARE\Classes\Interface\{00020400-0000-0000-C000-000000000046}
Name: (Default)
Value: IDispatch

HKLM\SOFTWARE\Classes\Interface\{00020400-0000-0000-C000-000000000046}\ProxyStubClsid
Name: (Default)
Value: {00020420-0000-0000-C000-000000000046}

HKLM\SOFTWARE\Classes\Interface\{00020400-0000-0000-C000-000000000046}\ProxyStubClsid32
Name: (Default)
Value: {00020420-0000-0000-C000-000000000046}

[FatsGordon]

Pepa, desconozco cómo trabaja el Extroyan, pero lo que dice es que tenés que ir a Inicio->Panel de control y doble click en Agregar/Quitar programas. Allí, en la lista que se te presente, deberías ser capaz de encontrar alguno de los nombres que este programa te propone. Si no encontrás nada es que o bien no hay nada que desinstalar, o bien son falsos positivos, o bien están allí y no los hemos detectado. Por eso te pedía que usaras otro antitroyano, así salíamos de dudas.

El resto, lo de la edición y etcéteras, es algo que no conozco dado que es privativo de ese software.

¿Pudiste ver si con lo que te dije se solucionaron los problemas?

[FatsGordon]

Y aqui en los tres donde pone Name dice "predeterminado"

Predeterminado es lo mismo que Default.

¿Ahora funciona bien?

[PEPA]

a² Report

No se han encontrado ficheros Malware.