Autor Tema: explorer.exe ha sido modificado (SOLUCIONADO) (Leído 9215 veces)

BATWB · « **en:** 10 de Septiembre de 2007, 08:50:30 am »

Buenas, desde hace una semana mi firewall me avisa de que "EXPLORER.EXE ha sido modificado y está intentado acceder a la red". La verdad es que yo no he modificaco nada y me parece muy estraño, evidentemente cada vez que me lo pregunta lo he bloqueado.
He hecho un scan con el hijackthis y os pongo el log para que algún maestro en la materia me pueda decir si ve alguna cosa que haya de eliminar

Logfile of HijackThis v1.99.1
Scan saved at 8:53:08, on 10/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
c:\archivos de programa\a-squared free\a2service.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\LAD\SEGURETAT\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} - C:\WINDOWS\system32\4C.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101920745845
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4952/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35DB69F1-8B77-40F7-BF0C-F6A7B96F85F9}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A157816-4A4F-496C-AF72-BCBDE9036576}: NameServer = 62.151.2.8,62.151.8.100
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: 4C - C:\WINDOWS\system32\4C.tmp
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\archivos de programa\a-squared free\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Gracias y salu2

Mr_X · « **Respuesta #1 en:** 10 de Septiembre de 2007, 04:31:53 pm »

Haz una copia de seguridad del registro (te recomiendo el ERUNT); deshabilita el 'Restaurar el sistema', reinicia en Modo seguro, ejecuta el HijackThis, marca la casilla a la izquierda de las siguientes entradas y dale al botón [Fix checked]:

Código: [Seleccionar]

O2 - BHO: (no name) - {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} - C:\WINDOWS\system32\4C.tmp

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O20 - Winlogon Notify: 4C - C:\WINDOWS\system32\4C.tmp

Reinicia normal, actualiza el Kaspersky y el Spybot S&D y pásalos reiniciando en Modo seguro... Saca un nuevo log...

BATWB · « **Respuesta #2 en:** 11 de Septiembre de 2007, 01:00:34 am »

Ok Mr. X, he hecho lo que me decias y suigue diciendome que se ha modificado, aquí te pego el nuevo log del Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 1:02:44, on 11/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
c:\archivos de programa\a-squared free\a2service.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\wuauclt.exe
D:\LAD\SEGURETAT\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} - C:\WINDOWS\system32\4C.tmp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101920745845
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4952/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35DB69F1-8B77-40F7-BF0C-F6A7B96F85F9}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A157816-4A4F-496C-AF72-BCBDE9036576}: NameServer = 62.151.2.8,62.151.8.100
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: 4C - C:\WINDOWS\system32\4C.tmp
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\archivos de programa\a-squared free\a2service.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Espero tus directrices, gracias y salu2

Mr_X · « **Respuesta #3 en:** 11 de Septiembre de 2007, 05:12:53 am »

1.-¿Hiciste lo que te comenté iniciando en Modo seguro?
2.-¿Deshabilitaste el 'Restaurar el sistema'?
3.-Saca un log del Autoruns (clic)...

BATWB · « **Respuesta #4 en:** 11 de Septiembre de 2007, 10:56:10 am »

Hola Mr.X,
si hice lo que me dijiste en modo seguro y tanto el Spybot como el Kaspersky no detectaron nada. Cada inicicio del sistema, el TeaTimer del Spybot que tengo como residente, me avisa de un cambio, valor eliminado, en una entrada importante del registro que es la que me pusiste para eliminar y eliminé en modo seguro: " O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)". Me dice que los datos antiguos pertenecen al McAfee ViruScan. Yo estoy aceptando el cambio pero cada vez sale el aviso al iniciar el sistema.
Ahora te pongo el log de Autoruns en modo normal:

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ kis   Kaspersky Anti-Virus   (Not verified) Kaspersky Lab   c:\archivos de programa\kaspersky lab\kaspersky internet security 6.0\avp.exe

+ nwiz         File not found: nwiz.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio

C:\Documents and Settings\TONVER\Menú Inicio\Programas\Inicio

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

+ SpybotSD TeaTimer   System settings protector   (Verified) Safer Networking Ltd.   c:\archivos de programa\spybot - search & destroy\teatimer.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Classes\Protocols\Filter

+ application/octet-stream   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ application/x-complus   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ application/x-msdownload   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

HKLM\SOFTWARE\Classes\Protocols\Handler

+ cetihpz   HPCETIUI Protocol Handler Module   (Not verified) Hewlett-Packard Company   c:\archivos de programa\hp\hpcoretech\comp\hpuiprot.dll

+ ms-itss   Microsoft® InfoTech Storage System Library   (Not verified) Microsoft Corporation   c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

+ 0         File not found: About:Home

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

+ n/a   Microsoft .NET IE SECURITY REGISTRATION   (Not verified) Microsoft Corporation   c:\windows\system32\mscories.dll

HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

+ AVG Anti-Spyware 7.5   AVG Anti-Spyware shellexecutehook   (Verified) GRISOFT LTD   c:\archivos de programa\grisoft\avg anti-spyware 7.5\shellexecutehook.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ a-squared Free Context Menu Shell Extension   a-squared Free shell extension   (Verified) Emsi Software GmbH   c:\archivos de programa\a-squared free\a2freecontmenu.dll

+ AlcoholShellEx   AXShlEx.dll   (Verified) Alcohol Soft Code Signing Services   c:\archivos de programa\alcohol soft\alcohol 120\axshlex.dll

+ Antivirus de la Web   Script Monitor Internet Explorer plugin   (Not verified) Kaspersky Lab   c:\archivos de programa\kaspersky lab\kaspersky internet security 6.0\scieplugin.dll

+ Desktop Explorer   NVIDIA Desktop Explorer, Version 66.93    (Not verified) NVIDIA Corporation   c:\windows\system32\nvshell.dll

+ Desktop Explorer Menu   NVIDIA Desktop Explorer, Version 66.93    (Not verified) NVIDIA Corporation   c:\windows\system32\nvshell.dll

+ Extensión de paneo de pantalla del Panel de control         File not found: deskpan.dll

+ Fusion Cache   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ nView Desktop Context Menu   NVIDIA Desktop Explorer, Version 66.93    (Not verified) NVIDIA Corporation   c:\windows\system32\nvshell.dll

+ Shell Extensions for RealOne Player   RealPlayer Shell Extensions   (Not verified) RealNetworks, Inc.   c:\archivos de programa\real\realplayer\rpshell.dll

+ Shell Icon Handler for Application References   Application Deployment Support Library   (Not verified) Microsoft Corporation   c:\windows\system32\dfshim.dll

+ ShellLink for Application References   Application Deployment Support Library   (Not verified) Microsoft Corporation   c:\windows\system32\dfshim.dll

+ WinRAR shell extension         c:\archivos de programa\winrar\rarext.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers

+ PDF Shell Extension   PDF Shell Extension   (Not verified) Adobe Systems, Inc.   c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ Adobe PDF Reader Link Helper   Adobe Acrobat IE Helper Version 7.0 for ActiveX   (Verified) Adobe Systems, Incorporated   c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll

+ SSVHelper Class   Java(TM) Platform SE binary   (Verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.6.0_02\bin\ssv.dll

+ {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0}         c:\windows\system32\4c.tmp

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

HKLM\Software\Microsoft\Internet Explorer\Toolbar

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Extensions

HKLM\Software\Microsoft\Internet Explorer\Extensions

Task Scheduler

+ AppleSoftwareUpdate.job         File not found: C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe

HKLM\System\CurrentControlSet\Services

+ a2free   Scans the PC for unwanted software and provides protection from malicious code   (Verified) Emsi Software GmbH   c:\archivos de programa\a-squared free\a2service.exe

+ Apple Mobile Device   Proporciona una interfaz con los dispositivos móviles de Apple.   (Not verified) Apple, Inc.   c:\archivos de programa\archivos comunes\apple\mobile device support\bin\applemobiledeviceservice.exe

+ AVG Anti-Spyware Guard   AVG Anti-Spyware guard   (Verified) GRISOFT LTD   c:\archivos de programa\grisoft\avg anti-spyware 7.5\guard.exe

+ AVP   Ofrece protección contra virus y software espía, ataques de intrusos, cibercrimen y correo no solicitado.   (Not verified) Kaspersky Lab   c:\archivos de programa\kaspersky lab\kaspersky internet security 6.0\avp.exe

+ NVSvc   Provides system and desktop level support to the NVIDIA display driver      File not found: C:\WINDOWS\System32\nvsvc32.exe

+ PDSched   PDSched Module   (Not verified) Raxco Software, Inc.   c:\archivos de programa\raxco\perfectdisk\pdsched.exe

+ StarWindService   Enables network access to local devices via iSCSI protocol.   (Not verified) Rocket Division Software   c:\archivos de programa\alcohol soft\alcohol 120\starwind\starwindservice.exe

HKLM\System\CurrentControlSet\Services

+ AVG Anti-Spyware Driver      (Verified) GRISOFT LTD   c:\archivos de programa\grisoft\avg anti-spyware 7.5\guard.sys

+ AvgAsCln   AVG7 Clean Driver   (Not verified) GRISOFT, s.r.o.   c:\windows\system32\drivers\avgascln.sys

+ ElbyCDFL   ElbyCDIO Filter Driver   (Not verified) SlySoft, Inc.   c:\windows\system32\drivers\elbycdfl.sys

+ ElbyCDIO   ElbyCD Windows NT/2000/XP I/O driver   (Not verified) Elaborate Bytes AG   c:\windows\system32\drivers\elbycdio.sys

+ HWIONT   Hwiont   (Not verified) The freeware company   c:\archivos de programa\canal plus plus\moretv\hwiont.sys

+ kl1   Kaspersky Unified Driver   (Not verified) Kaspersky Lab   c:\windows\system32\drivers\kl1.sys

+ klif   spuper-ptor   (Not verified) Kaspersky Lab   c:\windows\system32\drivers\klif.sys

+ pcouffin   low level access layer for CD/DVD/BD devices   (Not verified) VSO Software   c:\windows\system32\drivers\pcouffin.sys

+ pctvNT   PCTV WDM Driver for Win2K   (Not verified) Pinnacle Systems   c:\windows\system32\drivers\pctvw2k.sys

+ pfc   Padus(R) ASPI Shell   (Not verified) Padus, Inc.   c:\windows\system32\drivers\pfc.sys

+ sptd         c:\windows\system32\drivers\sptd.sys

+ TESTCAP   PCTV NT Audio Driver   (Not verified) Pinnacle Systems   c:\windows\system32\drivers\pctvaud.sys

+ TSP   spuper-ptor   (Not verified) Kaspersky Lab   c:\windows\system32\drivers\klif.sys

+ USBSHGX   SHARP GX series USB Driver   (Not verified) SHARP   c:\windows\system32\drivers\usbgx_2.sys

+ vaxscsi         c:\windows\system32\drivers\vaxscsi.sys

+ vulfnths   VIA USB Host Controller Lower Filter Driver   (Not verified) VIA Technologies, Inc.   c:\windows\system32\drivers\vulfnth.sys

+ vulfntrs   VIA USB Roothub Lower Filter Driver   (Not verified) VIA Technologies, Inc.   c:\windows\system32\drivers\vulfntr.sys

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute

+ PDBoot.exe   PerfectDisk Boot Time Defragmentation   (Not verified) Raxco Software, Inc.   c:\windows\system32\pdboot.exe

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKLM\Software\Microsoft\Command Processor\Autorun

HKCU\Software\Microsoft\Command Processor\Autorun

HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

+ C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll   kldialhk   (Not verified) Kaspersky Lab   c:\archivos de programa\kaspersky lab\kaspersky internet security 6.0\adialhk.dll

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

+ 4C         c:\windows\system32\4c.tmp

+ klogon   Logon Visualizer   (Not verified) Kaspersky Lab   c:\windows\system32\klogon.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

HKCU\Control Panel\Desktop\Scrnsave.exe

HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

Salu2

Mr_X · « **Respuesta #5 en:** 11 de Septiembre de 2007, 04:00:15 pm »

Ok. Asegúrate de iniciar con una cuenta con privilegios de Administrador y hacerlo en Modo seguro... Saca copia de seguridad del registro; (si lo volviste a habilitar) deshabilita el 'Restaurar el sistema'; ejecuta el Autoruns, selecciona con el botón derecho las siguientes entradas y dale a 'Delete':

Código: [Seleccionar]

+ {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0}         c:\windows\system32\4c.tmp

+ 4C         c:\windows\system32\4c.tmp

Vueleve a pasar el Kaspersky y el Spybot S&D...

BATWB · « **Respuesta #6 en:** 12 de Septiembre de 2007, 01:26:21 pm »

Hola Mr.X,
he inicado siempre como administrador, con todos los privilegios, y en modo seguro. La copia del registro la tengo a buen recaudo y no he vuelto ha habilitar "Restaurar Sistema".
Ejecuté el Autoruns y borre las entradas que me comentaste y luego pasé, en modo seguro, el Spybot y el Kaspersky con el resultado que no encontraron nada de nada, por ellos estoy limpio.
Pero te cuento, el Spybot continua diciendome que la entrada ha sido eliminada y me pide autorización cada inicio, no será que el TeaTimer de Spybot no deja que se elimine del todo? He detectado que el Hijackthis dice que las ha borrado pero haces una nueva busqueda y las vuelve a encontrar como si no pudiera o se volvieran a cargar, son estas:
"O2 - BHO: (no name) - {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} - C:\WINDOWS\system32\4C.tmp" y la "O20 - Winlogon Notify: 4C - C:\WINDOWS\system32\4C.tmp

Lo que ahora me dice el Kaspersky firewall ha cambiado a lo siguiente pidendo autorizar o bloquear.
" Mensaje saliente conexión TCP
Explorador de windows
Host remoto: 8314974215 (siempre este)
Puerto remoto: 80 (siempre este)
Puerto local: 1031 (es cambiante) "

Espero indicaciones, salu2

Mr_X · « **Respuesta #7 en:** 12 de Septiembre de 2007, 04:40:32 pm »

Baja el DelPSGuard y el SmitfraudFix y ejecútalos... Pega aquí el contenido del archivo C:\rapport.txt

BATWB · « **Respuesta #8 en:** 12 de Septiembre de 2007, 10:33:36 pm »

Hola, le he pasado los dos en modo normal, aquí te pego el rapport.txt:

SmitFraudFix v2.222

Scan done at 15:56:10,33, 13/09/2007
Run from D:\LAD\SEGURETAT\smitfraudfix\SmitfraudFix
OS: Microsoft Windows XP [Versi¢n 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\TONVER

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\TONVER\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Archivos de programa

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Mi p gina de inicio actual"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\ARCHIV~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Espero que te sirva.
De momento sigo bloqueando la salida a internet del explorador de windows (me lo pide cada vez que abro las ventanas de windows) y sigo teniendo activo el TeaTimer del Spybot, no?

Salu2

BATWB · « **Respuesta #9 en:** 14 de Septiembre de 2007, 10:13:46 am »

SOLUCIONADO
Siguiendo la orientación facilitada por Mr.X, el problema estaba en el tal BHO, he mirado por la red y he conseguido acabar con el bicho de los *******!

Voy a poner como lo he solucionado por si alguien le pasara lo mimo y le pudiera ser de utilidad:
1 intentando eliminar el archivo y bloqueando, con el firewall, las conexiones a internet del explorador de windows el Kaspersky me detecto el bicho y le puso nombre, Trojan.Win32.BHO.Fg. Lo tenia alojado en la ruta C:\windows\system32\vista.dll
2Una vez identificado con nombre y apellidos busqué la solución para deshacerme de el, no ha sido fácil.
3 Su método de infección es crear un archivo aleatorio con extension .DLL cuyo nombre se forma a partir de una combinación de varias cadenas de caractéres almacenados. Este archivo aleatorio .DLL se encuentra en el reporte de HijackThis en las entradas 02 y 020:

Citar

"O2 - BHO: (no name) - {5E9755A1-314A-4ae6-99E1-B9F7DC7C7CF0} - C:\WINDOWS\system32\4C.tmp" y la "O20 - Winlogon Notify: 4C - C:\WINDOWS\system32\4C.tmp

4 Pasos para su ELIMINACIÓN:
Apagar "Restaurar sistema"
Descargar los siguientes programas pero no ejecutarlos aun
- SuperAntiSpyware
- DelPSGuard
- VundoFix.exe
- VirtumundoBeGone
Instalar, actualizar y ejecutar-los, uno a uno.
Eliminar todo lo que encuentren.

A mi me ha funcionado de perlas y el Super AntiSpyware ya me hizo saltar al troyano detectandolo un par de veces el Kaspersky y pudiendolo eliminar por completo.
Doy las gracias a la paciencia que ha tenido Mr.X y al tiempo que me ha dedicado ya que sin su inestimable ayuda no hubiera podido acabar con el troyano.

Salu2 Mr.X

Noticias:

Autor Tema: explorer.exe ha sido modificado (SOLUCIONADO) (Leído 9215 veces)

BATWB

explorer.exe ha sido modificado (SOLUCIONADO)

Mr_X

Re: explorer.exe ha diso modificado

BATWB

Re: explorer.exe ha sido modificado

Mr_X

Re: explorer.exe ha sido modificado

BATWB

Re: explorer.exe ha sido modificado

Mr_X

Re: explorer.exe ha sido modificado

BATWB

Re: explorer.exe ha sido modificado

Mr_X

Re: explorer.exe ha sido modificado

BATWB

Re: explorer.exe ha sido modificado

BATWB

Re: explorer.exe ha sido modificado