Amigos, antes de conectarme a Internet todo bien, al conectarme todo es un
infierno, se me van congelando los programas activos y me aparece un archivo extraño en el Administrador de tareas llamada p6.exe. En el Starter veo también en "Inicios" la inclusión del p6.exe repetido 3 o 4 veces. La PC se cuelga en pocos minutos.
El hijackthis me informa la presencia del p6.exe. Pero si bien los elimino de todos los lugares infectados no lo logro erradicar y al rebootear está nuevamente presente y en acción.
Espero algien pueda ayudarme.
Alejandro
Argentina
Abajo paso el log de hijackthis:
Logfile of HijackThis v1.99.0
Scan saved at 08:59:41 a.m., on 23/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\System32\dllhost.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrador\Configuración local\Temp\HijackThis.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\wb\System\WBStudio.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\p6.exe
O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe
O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD3E4C0F-13BF-4D81-B2F4-8CAD7A3B6C01}: NameServer = 200.45.191.35 200.45.191.40
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sandra Data Service - SiSoftware - C:\Archivos de programa\Sandra\RpcDataSrv.exe
O23 - Service: Sandra Service - SiSoftware - C:\Archivos de programa\Sandra\RpcSandraSrv.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
p6.exe, un virus?
Empieza limpiando el PC y luego conecta con windows update y actualiza tu sistema operativo y el I.E.
Antivirus On-line:
· Computer Associates
https://www.virustotal.com/es/
Eliminacion de adwares y spywares
Spybot S&D
Sitio 1 - Descargar Spybot - Search & Destroy 1.3
http://kujoe.com/freeware/spybot.php
----------------------------------------------------------------
Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com
http://www.zonavirus.com/descargas/spybot-sd.asp
Parche para el DSO exploit de Spybot & Destroy
http://www.infospyware.org/viewtopic.php?t=93
Ad_Aware SE
Ad-Aware SE Personal Build 1.05 + Parche en español
http://www.infospyware.com/
Descarga, actualiza y pasa los programas en modo seguro desactivando restaurar sistema antes.
Saludos
maura63
Antivirus On-line:
· Computer Associates
Eliminacion de adwares y spywares
Spybot S&D
Sitio 1 - Descargar Spybot - Search & Destroy 1.3
----------------------------------------------------------------
Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com
Parche para el DSO exploit de Spybot & Destroy
Ad_Aware SE
Ad-Aware SE Personal Build 1.05 + Parche en español
Descarga, actualiza y pasa los programas en modo seguro desactivando restaurar sistema antes.
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Hay otro Tema al respecto en:
https://foros.zonavirus.com/viewtopic.php?t=5110
EL fichero en cuestion es cargado en:
O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe
O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
pero el otro usuario indica que tras haber borrado el fichero y eliminado las claves, este vuielve a aparecer al igual que las claves, por lo que se ha solicitado muestra para conocer la causa de la aparicion de dicho fichero y poder eliminarlo de raiz.
Se sugiere ver el resultado del analisis de dicha muestra cuando nos la envien, en el Tema arriba indicado
Por si quiere enviarnos tambien una muestra, no sea que se tratara de diferentes variantes, puede hacerlo azonavirus@satinfo.es anexandola a un mail cuyo texto sea un copiar y pegar de este post.
saludos
ms, 24-01-2005
EL fichero en cuestion es cargado en:
O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe
O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
pero el otro usuario indica que tras haber borrado el fichero y eliminado las claves, este vuielve a aparecer al igual que las claves, por lo que se ha solicitado muestra para conocer la causa de la aparicion de dicho fichero y poder eliminarlo de raiz.
Se sugiere ver el resultado del analisis de dicha muestra cuando nos la envien, en el Tema arriba indicado
Por si quiere enviarnos tambien una muestra, no sea que se tratara de diferentes variantes, puede hacerlo a
saludos
ms, 24-01-2005
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online