Tengo virus (salta el antivirus y publicidad)

Iniciado por fran_gc77, 22 Octubre 2010, 18:31 PM

0 Miembros y 2 Visitantes están viendo este tema.

fran_gc77

Buenas,
Me descargué un archivo .exe y al darle desaparecio de las descargas y ahora me salen paginas de publicidad de vez en cuando y el avast tb me bloquea un archivo rhd.exe pero al pasarle el antivirus me lo quitó pero sigue saliendo.
Le pasao el bitdefender online y me ha detectado 2 que el avast no me lo quita. Le dejo lo que me ha salido y si me podeis ayudar se lo agradezco, gracias...xq creo que tengo aun mas virus a partir de dar al maldito ejecutable.


QuickScan Beta 32-bit v0.9.9.41
-------------------------------
Fecha de Análisis: Fri Oct 22 18:10:00 2010
ID de la Máquina: 1D0F11D5

C:\Documents and Settings\USUARIO\Local Settings\Temp\Rhd.exe - no se pudo acceder
C:\WINDOWS\system32\drivers\SPTD.sys - No ha podido ser analizado
  --> HKLM\System\ControlSet001\Enum\Root\LEGACY_SPTD

¡Encontrados 2 arhivos infectados!
----------------------------------

C:\WINDOWS\Rjymya.exe --> Gen:Variant.Kazy.2104
  --> Proceso Rjymya.exe (424)
  --> c:\windows\tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job

C:\WINDOWS\System32\sshnas21.dll --> Trojan.Generic.KDV.53944
  --> HKLM\System\ControlSet001\services\SSHNAS\Parameters\"ServiceDll"
  --> Proceso firefox.exe (4132)
  --> Proceso svchost.exe (1232)



Procesos
--------
IoctlSvc Application                    3536    C:\WINDOWS\System32\IoctlSvc.exe
a-squared                                2892    C:\Program Files\a-squared Free\a2service.exe
Acer Empowering framework                2928    C:\Acer\Empowering Technology\admServ.exe
Acer Empowering framework                1816    C:\Acer\Empowering Technology\admtray.exe
Acer ePower Management                   1888    C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
Acer Launch Manager                      1972    C:\Program Files\Launch Manager\LManager.exe
Acer OrbiCam                             2036    C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
avast! Antivirus                         1956    C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
avast! Antivirus                          452    C:\Program Files\Alwil Software\Avast5\AvastUI.exe
CamTrack                                 2156    C:\Program Files\DigitalPeers\CamTrack\camtrack.exe
DAEMON Tools Lite                         732    C:\Program Files\DAEMON Tools Lite\daemon.exe
DNA                                       704    C:\Program Files\DNA\btdna.exe
eDSloader                                1824    C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
eRecovery                                1612    C:\Acer\Empowering Technology\eRecovery\Monitor.exe
Firefox                                  4132    C:\Program Files\Mozilla Firefox\firefox.exe
Google Chrome                            5140    C:\Documents and Settings\USUARIO\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
Google Chrome                            2128    C:\Documents and Settings\USUARIO\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
Google Chrome                            1420    C:\Documents and Settings\USUARIO\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
Google Update                            1252    C:\Documents and Settings\USUARIO\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
iGolds                                    424    C:\WINDOWS\Rjymya.exe
Intel(R) PROSet/Wireless Event Log       1332    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
Intel(R) PROSet/Wireless Registry Servi  3564    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
Intel(R) PROSet/Wireless Service         1364    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
Java(TM) Platform SE 6 U21               3292    C:\Program Files\Java\JRE6\BIN\JQS.EXE
Java(TM) Platform SE Auto Updater 2 0     300    C:\Program Files\Common Files\Java\Java Update\jusched.exe
LightScribe                              3352    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
Logitech                                 2656    C:\Program Files\Common Files\Logitech\LVMVFM\LVPrcSrv.exe
Logitech                                 2000    C:\WINDOWS\System32\LVCOMSX.EXE
Logitech Camera Software                  212    C:\WINDOWS\System32\ElkCtrl.exe
Microsoft® Visual Studio .NET            3428    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
Microsoft® Windows® Operating System     1572    C:\WINDOWS\ehome\ehmsas.exe
Microsoft® Windows® Operating System     3020    C:\WINDOWS\ehome\ehRecvr.exe
Microsoft® Windows® Operating System     3076    C:\WINDOWS\ehome\ehSched.exe
Microsoft® Windows® Operating System     1400    C:\WINDOWS\ehome\ehtray.exe
Microsoft® Windows® Operating System     3832    C:\WINDOWS\ehome\mcrdsvc.exe
Microsoft® Windows® Operating System      604    C:\WINDOWS\Explorer.EXE
Microsoft® Windows® Operating System      296    C:\WINDOWS\System32\alg.exe
Microsoft® Windows® Operating System      868    C:\WINDOWS\System32\csrss.exe
Microsoft® Windows® Operating System      596    C:\WINDOWS\System32\ctfmon.exe
Microsoft® Windows® Operating System     2576    C:\WINDOWS\System32\dllhost.exe
Microsoft® Windows® Operating System      952    C:\WINDOWS\System32\lsass.exe
Microsoft® Windows® Operating System     1312    C:\WINDOWS\System32\rundll32.exe
Microsoft® Windows® Operating System      940    C:\WINDOWS\System32\services.exe
Microsoft® Windows® Operating System      528    C:\WINDOWS\System32\smss.exe
Microsoft® Windows® Operating System     2556    C:\WINDOWS\System32\spoolsv.exe
Microsoft® Windows® Operating System     1112    C:\WINDOWS\System32\svchost.exe
Microsoft® Windows® Operating System     2976    C:\WINDOWS\System32\svchost.exe
Microsoft® Windows® Operating System     1528    C:\WINDOWS\System32\svchost.exe
Microsoft® Windows® Operating System     1472    C:\WINDOWS\System32\svchost.exe
Microsoft® Windows® Operating System     1272    C:\WINDOWS\System32\svchost.exe
Microsoft® Windows® Operating System     2828    C:\WINDOWS\System32\svchost.exe
Microsoft® Windows® Operating System     1232    C:\WINDOWS\System32\svchost.exe
Microsoft® Windows® Operating System     1192    C:\WINDOWS\System32\svchost.exe
Microsoft® Windows® Operating System     3636    C:\WINDOWS\System32\svchost.exe
Microsoft® Windows® Operating System     3716    C:\WINDOWS\System32\svchost.exe
Microsoft® Windows® Operating System     3736    C:\WINDOWS\System32\wbem\unsecapp.exe
Microsoft® Windows® Operating System     1016    C:\WINDOWS\System32\wbem\wmiprvse.exe
Microsoft® Windows® Operating System     2236    C:\WINDOWS\System32\wbem\wmiprvse.exe
Microsoft® Windows® Operating System      896    C:\WINDOWS\System32\winlogon.exe
Microsoft® Windows® Operating System     5360    C:\WINDOWS\System32\wuauclt.exe
Nero BackItUp                            3452    C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
Nero Home                                1672    C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
Nero Home                                 728    C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
NVIDIA Driver Helper Service, Version 8  3520    C:\WINDOWS\System32\nvsvc32.exe
PowerDVD                                 1776    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
Realtek HD Audio Data Rerouter           2968    C:\Documents and Settings\USUARIO\Local Settings\Temp\RtkBtMnt.exe
Realtek HD Audio Sound Effect Manager    1540    C:\WINDOWS\RTHDCPL.EXE
Synaptics Pointing Device Driver         1796    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
Vodafone Mobile Connect                   436    C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
Vodafone Mobile Connect                  4048    C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe


Actividad de red
----------------
Proceso Rjymya.exe (424) conectado en el puerto 80 (HTTP) --> 184.73.221.222
Proceso Rjymya.exe (424) conectado en el puerto 80 (HTTP) --> 92.123.78.42
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 66.249.92.104
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 74.125.39.113
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 66.249.92.104
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 38.101.166.30
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 66.249.92.104
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 209.85.229.132
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 209.85.229.191
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 66.249.92.104
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 66.249.92.104
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 92.123.78.42
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 209.85.229.132
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 209.85.229.191
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 66.249.92.104
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 209.85.229.132
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 209.85.229.132
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 74.125.227.40
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 209.85.227.191
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 88.221.69.115
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 209.85.229.191
Proceso AvastSvc.exe (1956) conectado en el puerto 80 (HTTP) --> 194.224.66.104
Proceso Rhd.exe (2088) conectado en el puerto 80 (HTTP) --> 69.90.74.226

Proceso btdna.exe (704) escuchar en puertos: 21324
Proceso svchost.exe (1192) escuchar en puertos: 135 (RPC)
Proceso admServ.exe (2928) escuchar en puertos: 2804


Autoruns y archivos críticos
----------------------------
Acer Empowering framework                C:\Acer\Empowering Technology\admtray.exe
Acer ePower Management                   C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe
Acer ePower Management                   C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
Acer Launch Manager                      C:\Program Files\Launch Manager\LManager.exe
Acer Launch Tool                         C:\WINDOWS\Alaunch.exe
Acer OrbiCam                             C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
Acer OrbiCam                             C:\Program Files\Acer\OrbiCam\InstallHelper.exe
Adobe Acrobat                            C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Ares p2p for windows                     C:\Program Files\Ares\Ares.exe
avast! Antivirus                         C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
CamTrack                                 C:\Program Files\DigitalPeers\CamTrack\camtrack.exe
DAEMON Tools Lite                        C:\Program Files\DAEMON Tools Lite\daemon.exe
DNA                                      C:\Program Files\DNA\btdna.exe
eDSloader                                C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
eRecovery                                C:\Acer\Empowering Technology\eRecovery\Monitor.exe
Google Update                            C:\Documents and Settings\USUARIO\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
Google Update                            C:\Program Files\Google\Update\GoogleUpdate.exe
iGolds                                   C:\WINDOWS\Rjymya.exe
ImScInst.exe                             C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe
Intel(R) Common User Interface           C:\WINDOWS\system32\hkcmd.exe
Intel(R) Common User Interface           C:\WINDOWS\system32\igfxdev.dll
Intel(R) Common User Interface           C:\WINDOWS\system32\igfxpers.exe
Intel(R) Common User Interface           C:\WINDOWS\system32\igfxtray.exe
Java(TM) Platform SE Auto Updater 2 0    C:\Program Files\Common Files\Java\Java Update\jusched.exe
Logitech                                 C:\WINDOWS\System32\LVCOMSX.EXE
Logitech Camera Software                 C:\WINDOWS\System32\ElkCtrl.exe
Malwarebytes' Anti-Malware               C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
Microsoft IME 2002                       C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE
Microsoft® Windows® Operating System     C:\WINDOWS\ehome\ehtray.exe
Microsoft® Windows® Operating System     C:\WINDOWS\System32\BROWSEUI.dll
Microsoft® Windows® Operating System     C:\WINDOWS\System32\bthprops.cpl
Microsoft® Windows® Operating System     C:\WINDOWS\System32\CRYPT32.dll
Microsoft® Windows® Operating System     C:\WINDOWS\system32\cryptnet.dll
Microsoft® Windows® Operating System     C:\WINDOWS\System32\cscdll.dll
Microsoft® Windows® Operating System     C:\WINDOWS\System32\ctfmon.exe
Microsoft® Windows® Operating System     C:\WINDOWS\system32\dumprep.exe
Microsoft® Windows® Operating System     C:\WINDOWS\system32\logonui.exe
Microsoft® Windows® Operating System     C:\WINDOWS\system32\sclgntfy.dll
Microsoft® Windows® Operating System     C:\WINDOWS\System32\shell32.dll
Microsoft® Windows® Operating System     C:\WINDOWS\System32\stobject.dll
Microsoft® Windows® Operating System     c:\windows\system32\userinit.exe
Microsoft® Windows® Operating System     C:\WINDOWS\System32\webcheck.dll
Microsoft® Windows® Operating System     C:\WINDOWS\System32\WlNotify.dll
Microsoft® Windows® Operating System     C:\WINDOWS\System32\WPDShServiceObj.dll
Nero AG NeroCheck                        C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
Nero BackItUp                            C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
Nero Home                                C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
ntiMUI.exe                               C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
NVIDIA Compatible Windows 2000 Display   C:\WINDOWS\System32\NvCpl.dll
NVIDIA Media Center Library              C:\WINDOWS\system32\NvMcTray.dll
nwiz.exe                                 C:\WINDOWS\system32\nwiz.exe
pando                                    C:\Program Files\Pando Networks\Pando\pando.exe
PowerDVD                                 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
Realtek AC97 Audio - Event Monitor       C:\WINDOWS\ALCMTR.EXE
Realtek Azalia Mixer Selector            C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
Realtek HD Audio Sound Effect Manager    C:\WINDOWS\RTHDCPL.EXE
Realtek Voice  Manager                   C:\WINDOWS\SkyTel.EXE
Synaptics Pointing Device Driver         C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
Vodafone Mobile Connect                  C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
新注音                                      C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE


Plugins del Navegador
---------------------
AcroIEHelper Library                     C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
Adobe Acrobat                            C:\Program Files\Internet Explorer\plugins\nppdf32.dll
BitDefender QuickScan                    C:\Documents and Settings\USUARIO\Application Data\Mozilla\Firefox\Profiles\ykk439dm.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
BitDefender QuickScan                    C:\Documents and Settings\USUARIO\Application Data\Mozilla\Firefox\Profiles\ykk439dm.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
DNA Plug-in                              C:\Program Files\DNA\plugins\npbtdna.dll
Google Earth Plugin                      C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll
Google Update                            C:\Program Files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
InstallShield Update Service             C:\WINDOWS\Downloaded Program Files\dwusplay.dll
InstallShield Update Service             C:\WINDOWS\Downloaded Program Files\dwusplay.exe
InstallShield Update Service             C:\WINDOWS\Downloaded Program Files\isusweb.dll
Java Deployment Toolkit 6.0.210.7        C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
Java(TM) Platform SE 6 U21               c:\program files\java\jre6\bin\jp2ssv.dll
Java(TM) Platform SE 6 U21               C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll
Java(TM) Platform SE 6 U21               c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
Microsoft Office 2003                    C:\Program Files\Mozilla Firefox\plugins\NPOFFICE.DLL
Microsoft Office Live Plug-in for Firef  C:\Program Files\Microsoft\Office Live\npOLW.dll
Microsoft® Windows Media Player Firefox  C:\Program Files\Mozilla Firefox\plugins\np-mswmp.dll
Microsoft® Windows® Operating System     C:\WINDOWS\System32\mswsock.dll
Microsoft® Windows® Operating System     C:\WINDOWS\System32\rsvpsp.dll
Microsoft® Windows® Operating System     C:\WINDOWS\System32\SHDOCVW.dll
Microsoft® Windows® Operating System     C:\WINDOWS\System32\winrnr.dll
Microsoft® Windows® Operating System     C:\WINDOWS\System32\wshbth.dll
Mozilla Default Plug-in                  C:\Program Files\Mozilla Firefox\plugins\npnul32.dll
MSN® Games by Zone.com                   C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll
NPSWF32.dll                              C:\WINDOWS\System32\Macromed\Flash\NPSWF32.dll
Panda ActiveScan 2.0                     C:\Program Files\Panda Security\ActiveScan 2.0\npwrapper.dll
Pando Web Installer                      C:\Program Files\Mozilla Firefox\plugins\npPandoWebInst.dll
PokerStars                               C:\Program Files\PokerStars\PokerStarsUpdate.exe
Shockwave for Director                   C:\WINDOWS\system32\Adobe\Director\np32dsw.dll
Silverlight Plug-In                      c:\Program Files\Microsoft Silverlight\4.0.50917.0\npctrl.dll
ToolBand Module                          c:\windows\system32\edstoolbar.dll
Veetle TV Core                           C:\Program Files\Veetle\plugins\npVeetle.dll
Veetle TV Player                         C:\Program Files\Veetle\Player\npvlc.dll
Windows Presentation Foundation          c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
Yahoo! Toolbar                           c:\program files\yahoo!\companion\installs\cpn\yt.dll


Archivos perdidos
-----------------
Archivo no encontrado: C:\DOCUME~1\USUARIO\Desktop\AIRCRA~1.3-W\bin\PEEK5.SYS
  --> HKLM\System\ControlSet001\services\PEEK5\"ImagePath"

Archivo no encontrado: C:\DOCUME~1\USUARIO\LOCALS~1\Temp\Rhd.exe

skapunky

Quizá es algún tipo de adware, te recomiendo hacer dos cosas que puedes hacerlas al mismo tiempo:

Killtrojan Syslog v1.44: ENTRAR

fran_gc77

Esto me ha salido con el hijackthis,...yo no entiendo de esto asi q espero q me lo veas y me digas, gracias:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:28:32, on 22/10/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Documents and Settings\USUARIO\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\DOCUME~1\USUARIO\LOCALS~1\Temp\Rhd.exe
C:\Program Files\DigitalPeers\CamTrack\camtrack.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Acer\Empowering Technology\admServ.exe
C:\DOCUME~1\USUARIO\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Rjymya.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://es.rd.yahoo.com/customize/ycomp/defaults/sp/*http://es.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://es.es.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.es.acer.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://es.rd.yahoo.com/customize/ycomp/defaults/su/*http://es.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://es.es.acer.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe,
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\pando.exe" /Minimized
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\USUARIO\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [KOO9RV9K4Z] C:\DOCUME~1\USUARIO\LOCALS~1\Temp\Rhd.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - S-1-5-18 Startup: CamTrack.lnk = C:\Program Files\DigitalPeers\CamTrack\camtrack.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: CamTrack.lnk = C:\Program Files\DigitalPeers\CamTrack\camtrack.exe (User 'Default user')
O4 - .DEFAULT User Startup: CamTrack.lnk = C:\Program Files\DigitalPeers\CamTrack\camtrack.exe (User 'Default user')
O4 - Startup: CamTrack.lnk = C:\Program Files\DigitalPeers\CamTrack\camtrack.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://c:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} - http://fdl.msn.com/public/chat/msnchat45.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 13015 bytes

Axus

Bueno segun veo no aparece nada lo cual darle fix en el log.

Sigue con la segunda recomendacion de skapunky y das un scan completo, dependiendo de los resultados nos cuentas como te a hido. ;)


fran_gc77

Lo he pasado elimine el archivo infectado y ahora lo acabo de pasar y he eliminado otra vez el mismo archivo. Esto es lo que me ha salido:

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 2775
Windows 5.1.2600 Service Pack 2

22/10/2010 22:15:44
mbam-log-2010-10-22 (22-15-33).txt

Tipo de examen : Examen Rápido
Objetos examinados: 109502
Tiempo transcurrido: 6 minute(s), 9 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

--------------------------------------------------------------
Ahora le estoy pasando un examen completo, haber que pasa. Ese trojan es el que me hace saltar las paginas de publicidad y el que bloquea el avast rhd.exe???

fran_gc77

Le he pasado en modo completo y me ha salido la misma infeccion de antes, quiere decir q no lo ha eliminado aunq yo lo haya quitado!!!
ahora me acaba de saltar el avast y esta ubicado en: Document and setting/Usuario/temp/rhd.exe o algo parecido!!ya no se q hacer xq a veces me meto en facebook por ejemplo y me redirecciona hacia otra web!!!!!!!!!!

Axus

Cita de: fran_gc77 en 22 Octubre 2010, 22:21 PM
Claves del Registro Infectadas:
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.

Me parece que el problema radica en esa entrada del registro, por lo que noto ahi esta situdo lo que tanta molestia causa..

Si sabes algo del registro intenta elimarlo tu manualmente, si nunca antes has bregado con el te recomiendo que investigues un poco en google.

Un Saludo ;)

Gabriela

Mira, lee los post de Skapunky, deja un enlace con un sencillo tutorial de como eliminar manualmente un virus (da un ejemplo, pero puede ser cualquiera).

Quizá te sirva, es breve y muy claro.

http://foro.elhacker.net/seguridad/se_metieron_en_mi_pc-t306616.0.html;msg1524897
Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.

fran_gc77

Gracias. Pero acabo de terminar el proceso del virus este rhd.exe y se ha apagado el ordenador y se ha reiniciado. Ya no aparece en procesos y lo he buscado en archivos ocultos en la carpeta temp y tampoco aparece, si me vuelve a saltar el antivirus ya aviso.

APOKLIPTICO

Yo lo que te recomiendo es lo siguiente:
Tenés conexión a internet por ethernet o la tenés por wi fi? En caso de que la tengas por wi fi, tenete listo los drivers y hace lo siguiente:
1) Descargate el hiren's boot o el pilitos live xp cd o algun live cd.
2) Quema la imagen a un cd (con no te estoy diciendo que grabes el .iso, sino que utilizes la opcion de tu quemador para grabar imagenes de cd).
3) Bootea con ese live cd.
4) Conectate a internet si estás conectado por cable, no va a ser problema, si tenes wi fi, vas a tener que instalar los drivers de tu placa wi fi.
5) Bajate algún anti virus free portable o muy chico ClamWin, la version portable de Avast, o no se usa google. No te olvides de actualizarlo para tener las últimas definiciones.
6) Analiza toda tu pc.

Esto debería limpiar tu pc de toda porquería.

Un abrazo
APOKLIPTICO
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.