COMO LO SACO

OK, lo tengo y lo uso a diario
Logfile of HijackThis v1.99.1
Scan saved at 09:54:48 p.m., on 05/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\crypserv.exe
C:\Archivos de programa\Norton Internet Security\Norton
AntiVirusavapsvc.exe
C:\Archivos de programa\Norton Internet Security\Norton
AntiVirus\SAVScan.exe
c:\Archivos de programa\UPHClean\uphclean.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security
Center\SymWSC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\BITWARE\NT\bwprnmon.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\system32tvdm.exe
C:\WINDOWS\system32\devldr32.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\NMain.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\totalcmd\TOTALCMD.EXE
c:\EXTROYAN\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - (no
file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos
de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -
C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} -
C:\Archivos de programa\Archivos comunes\Symantec
Shared\AdBlocking\NISShExt.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} -
C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos
de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} -
C:\Archivos de programa\Archivos comunes\Symantec
Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Archivos de programa\Norton Internet Security\Norton
AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet
Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor]
C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O8 - Extra context menu item: &Download with &DAP -
C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP -
C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download the &current page with Offline
Explorer - file://C:\Archivos de programa\Offline Explorer Pro\Add_AllO.htm
O8 - Extra context menu item: Download using Offline &Explorer -
file://C:\Archivos de programa\Offline Explorer Pro\Add_UrlO.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -
C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger -
{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -
C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger -
{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -
C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de
programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://v5.windowsupdate.microsoft.c...9537613298
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) -
http://chat.msn.com/bin/msnchat45.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{B026CFA5-8223-4B87-93BD-4FC15F255928}:
NameServer = 200.59.237.251 200.59.224.2
O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - (no
file)
O21 - SSODL: System - {F3C4F14A-07D5-40A2-B1A2-930818C601B9} - kmc.dll (file
missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation -
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec
Corporation - C:\Archivos de programa\Archivos comunes\Symantec
Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. -
C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) -
Symantec Corporation - C:\Archivos de programa\Norton Internet
Security\Norton AntiVirusavapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de
programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Archivos de programa\Archivos comunes\Symantec
Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos
de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe




"fermu [MVP Windows]" escribió en el mensaje
news:%

mabigg wrote:

He cumplido con todas las recomendaciones, el sistema esta limpio
totalmente, ahora pienso que este Troj/Backdoor.Ciadoor.12. , se esta
colando por algun puerto que no controla Norton, ni spaywaredoctor, habra
algun parche de MS para este problema?
Este archivo MSWINSCK.OCX parece vinculado al Troj/Backdoor.Ciadoor.12,
pero esta en c:\windows\system32 y no como dicen los reportes en
c:\windows\system.

utilizas el firewall de norton?

es un troyano con puerta trasera... pero no creo que sea complicado de
erradicar, porque no te descargas hijackthis y nos dejas el log que te
genere este programa?


Saludos
MS MVP Windows - Shell/User
Fermu's Website - http://www.fermu.com
Fermu's Forum - http://fermu.notlong.com/

mabigg wrote:

OK, lo tengo y lo uso a diario
Logfile of HijackThis v1.99.1
Scan saved at 09:54:48 p.m., on 05/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Pues por ahí no hay ni rastro del virus... ni de ese ni de ningún
otro... al menos en las claves que aparecen referenciadas, además
tampoco aparece en ejecución en segundo plano... a no ser que a mi se me
haya escapado algo, de todas formas el troyano también puede utilizar
otras claves del registro para ejecutarse, así pues, desde
inicio/ejecutar teclea "cmd" y dejanos la salida de estos comandos:

reg query HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed
Components"

y dejanos también la salida del comando "netstat -abv"... a ver si
tenemos suerte y "canta" por algún lado.



Saludos
MS MVP Windows - Shell/User
Fermu's Website - http://www.fermu.com
Fermu's Forum - http://fermu.notlong.com/

Fernu, tal vez no me explique bien, ese archivo aparece luego de unas horas
de conexion y cuando rearrancas la maquina, creo que es el principio de la
infeccion y el AV lo detecta, el problema es saber por donde entra, me tiene
loco.
mabigg

"fermu [MVP Windows]" escribió en el mensaje
news:%23fH64%

mabigg wrote:

OK, lo tengo y lo uso a diario
Logfile of HijackThis v1.99.1
Scan saved at 09:54:48 p.m., on 05/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Pues por ahí no hay ni rastro del virus... ni de ese ni de ningún
otro... al menos en las claves que aparecen referenciadas, además
tampoco aparece en ejecución en segundo plano... a no ser que a mi se me
haya escapado algo, de todas formas el troyano también puede utilizar
otras claves del registro para ejecutarse, así pues, desde
inicio/ejecutar teclea "cmd" y dejanos la salida de estos comandos:

reg query HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed
Components"

y dejanos también la salida del comando "netstat -abv"... a ver si
tenemos suerte y "canta" por algún lado.



Saludos
MS MVP Windows - Shell/User
Fermu's Website - http://www.fermu.com
Fermu's Forum - http://fermu.notlong.com/

Fernu, aqui esta lo que me pediste.

Conexiones activas

Proto Direcci¢n local Direcci¢n remota Estado
PID
TCP admin1:epmap admin1:0 LISTENING 840
c:\windows\system32\WS2_32.dll
C:\WINDOWS\system32\RPCRT4.dll
c:\windows\system32pcss.dll
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ADVAPI32.dll
[svchost.exe]

TCP admin1:microsoft-ds admin1:0 LISTENING 4
[Sistema]

TCP admin1:2869 admin1:0 LISTENING 988
C:\WINDOWS\system32\httpapi.dll
c:\windows\system32\upnphost.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\ole32.dll
[svchost.exe]

TCP admin1:1025 admin1:0 LISTENING 1600
[ccProxy.exe]

TCP admin1:1027 admin1:0 LISTENING 2296
C:\WINDOWS\System32\WS2_32.dll
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\ole32.dll
[alg.exe]

TCP admin1:1033 admin1:0 LISTENING 2000
C:\WINDOWS\system32\WS2_32.dll
C:\ARCHIV~1\ARCHIV~1\SYMANT~1\CCEMLPXY.DLL
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\ole32.dll
[ccApp.exe]

TCP admin1:1025 localhost:kpop ESTABLISHED 1600
[ccProxy.exe]

TCP admin1:kpop localhost:1025 ESTABLISHED 3472
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\INETCOMM.dll
C:\WINDOWS\system32\USER32.dll
C:\Archivos de programa\Outlook Express\MSOE.DLL
C:\Archivos de programa\Outlook Express\msimn.exe
[msimn.exe]

TCP admin1:1110 msnews.microsoft.com:nntp ESTABLISHED
1600
C:\WINDOWS\system32\mswsock.dll
C:\WINDOWS\system32\WS2_32.dll
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\MSVCR70.dll
C:\WINDOWS\system32\kernel32.dll
[ccProxy.exe]

UDP admin1:isakmp *:* 624
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\oakley.DLL
C:\WINDOWS\system32\LSASRV.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[lsass.exe]

UDP admin1:4500 *:* 624
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\oakley.DLL
C:\WINDOWS\system32\LSASRV.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[lsass.exe]

UDP admin1:1047 *:* 960
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP admin1:microsoft-ds *:* 4
ntdll.dll
[Sistema]

UDP admin1:1028 *:* 880
c:\windows\system32\WS2_32.dll
c:\windows\system32\ipnathlp.dll
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP admin1:1071 *:* 960
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
c:\windows\system32\DNSAPI.dll
c:\windows\system32\dnsrslvr.dll
C:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP admin1:ntp *:* 880
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP admin1:1900 *:* 988
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP admin1:1029 *:* 880
c:\windows\system32\WS2_32.dll
c:\windows\system32\ipnathlp.dll
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP admin1:1092 *:* 3472
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\WININET.dll
C:\WINDOWS\system32\kernel32.dll
[msimn.exe]

UDP admin1:ntp *:* 880
c:\windows\system32\WS2_32.dll
c:\windows\system32\w32time.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP admin1:1900 *:* 988
c:\windows\system32\WS2_32.dll
c:\windows\system32\ssdpsrv.dll
ntdll.dll
C:\WINDOWS\system32\kernel32.dll
[svchost.exe]





"fermu [MVP Windows]" escribió en el mensaje
news:%23fH64%

mabigg wrote:

OK, lo tengo y lo uso a diario
Logfile of HijackThis v1.99.1
Scan saved at 09:54:48 p.m., on 05/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Pues por ahí no hay ni rastro del virus... ni de ese ni de ningún
otro... al menos en las claves que aparecen referenciadas, además
tampoco aparece en ejecución en segundo plano... a no ser que a mi se me
haya escapado algo, de todas formas el troyano también puede utilizar
otras claves del registro para ejecutarse, así pues, desde
inicio/ejecutar teclea "cmd" y dejanos la salida de estos comandos:

reg query HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed
Components"

y dejanos también la salida del comando "netstat -abv"... a ver si
tenemos suerte y "canta" por algún lado.



Saludos
MS MVP Windows - Shell/User
Fermu's Website - http://www.fermu.com
Fermu's Forum - http://fermu.notlong.com/

Fernu y este es el registro del Norton IS

Categoría: Alertas de amenaza
Fecha,Característica,Nombre de amenaza,Acción emprendida,Tipo de
elemento,Destino,Acción sospechosa,Versión de definición de virus,Versión
del producto,Nombre de usuario,Nombre de PC,Detalles
06/11/2005 11:56:52 a.m.,Auto-Protect,Backdoor.IRC.Bot,Eliminado
automáticamente,Archivo,N/A,N/A,200511020019,10.0.1.13,user1,ADMIN1,Origen:
C:\WINDOWS\csrss.exe
05/11/2005 10:04:14 p.m.,Auto-Protect,Backdoor.IRC.Bot,Eliminado
automáticamente,Archivo,N/A,N/A,200511020019,10.0.1.13,user1,ADMIN1,Origen:
C:\WINDOWS\csrss.exe
05/11/2005 06:09:46 p.m.,Auto-Protect,Backdoor.IRC.Bot,Eliminado
automáticamente,Archivo,N/A,N/A,200511020019,10.0.1.13,user1,ADMIN1,Origen:
C:\WINDOWS\csrss.exe
05/11/2005 03:34:48 p.m.,Auto-Protect,Backdoor.IRC.Bot,Eliminado
automáticamente,Archivo,N/A,N/A,200511020019,10.0.1.13,user1,ADMIN1,Origen:
C:\WINDOWS\csrss.exe
04/11/2005 08:12:28 p.m.,Auto-Protect,Backdoor.IRC.Bot,Eliminado
automáticamente,Archivo,N/A,N/A,200511020019,10.0.1.13,user1,ADMIN1,Origen:
C:\WINDOWS\csrss.exe
04/11/2005 03:51:13 p.m.,Auto-Protect,Backdoor.IRC.Bot,Eliminado
automáticamente,Archivo,N/A,N/A,200511020019,10.0.1.13,user1,ADMIN1,Origen:
C:\WINDOWS\csrss.exe
03/11/2005 09:22:31 p.m.,Auto-Protect,Backdoor.IRC.Bot,Eliminado
automáticamente,Archivo,N/A,N/A,200511020019,10.0.1.13,user1,ADMIN1,Origen:
C:\WINDOWS\csrss.exe




"fermu [MVP Windows]" escribió en el mensaje
news:%23fH64%

mabigg wrote:

OK, lo tengo y lo uso a diario
Logfile of HijackThis v1.99.1
Scan saved at 09:54:48 p.m., on 05/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Pues por ahí no hay ni rastro del virus... ni de ese ni de ningún
otro... al menos en las claves que aparecen referenciadas, además
tampoco aparece en ejecución en segundo plano... a no ser que a mi se me
haya escapado algo, de todas formas el troyano también puede utilizar
otras claves del registro para ejecutarse, así pues, desde
inicio/ejecutar teclea "cmd" y dejanos la salida de estos comandos:

reg query HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed
Components"

y dejanos también la salida del comando "netstat -abv"... a ver si
tenemos suerte y "canta" por algún lado.



Saludos
MS MVP Windows - Shell/User
Fermu's Website - http://www.fermu.com
Fermu's Forum - http://fermu.notlong.com/