p6.exe, un virus?

Responder
Pochi
Mensajes: 1
Registrado: 23 Ene 2005, 22:45

p6.exe, un virus?

Mensaje por Pochi » 23 Ene 2005, 22:51

Amigos, antes de conectarme a Internet todo bien, al conectarme todo es un

infierno, se me van congelando los programas activos y me aparece un archivo extraño en el Administrador de tareas llamada p6.exe. En el Starter veo también en "Inicios" la inclusión del p6.exe repetido 3 o 4 veces. La PC se cuelga en pocos minutos.

El hijackthis me informa la presencia del p6.exe. Pero si bien los elimino de todos los lugares infectados no lo logro erradicar y al rebootear está nuevamente presente y en acción.

Espero algien pueda ayudarme.



Alejandro

Argentina



Abajo paso el log de hijackthis:



Logfile of HijackThis v1.99.0

Scan saved at 08:59:41 a.m., on 23/01/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\netdde.exe

C:\WINDOWS\System32\dllhost.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Administrador\Configuración local\Temp\HijackThis.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\wb\System\WBStudio.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\System32\p6.exe



O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe

O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{DD3E4C0F-13BF-4D81-B2F4-8CAD7A3B6C01}: NameServer = 200.45.191.35 200.45.191.40

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sandra Data Service - SiSoftware - C:\Archivos de programa\Sandra\RpcDataSrv.exe

O23 - Service: Sandra Service - SiSoftware - C:\Archivos de programa\Sandra\RpcSandraSrv.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 24 Ene 2005, 09:54

Empieza limpiando el PC y luego conecta con windows update y actualiza tu sistema operativo y el I.E.







Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/





Eliminacion de adwares y spywares



Spybot S&D



Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://kujoe.com/freeware/spybot.php

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp





Parche para el DSO exploit de Spybot & Destroy

http://www.infospyware.org/viewtopic.php?t=93



Ad_Aware SE



Ad-Aware SE Personal Build 1.05 + Parche en español

http://www.infospyware.com/



Descarga, actualiza y pasa los programas en modo seguro desactivando restaurar sistema antes.



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 24 Ene 2005, 10:56

Hay otro Tema al respecto en:



https://foros.zonavirus.com/viewtopic.php?t=5110



EL fichero en cuestion es cargado en:



O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe

O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe



pero el otro usuario indica que tras haber borrado el fichero y eliminado las claves, este vuielve a aparecer al igual que las claves, por lo que se ha solicitado muestra para conocer la causa de la aparicion de dicho fichero y poder eliminarlo de raiz.



Se sugiere ver el resultado del analisis de dicha muestra cuando nos la envien, en el Tema arriba indicado



Por si quiere enviarnos tambien una muestra, no sea que se tratara de diferentes variantes, puede hacerlo a zonavirus@satinfo.es anexandola a un mail cuyo texto sea un copiar y pegar de este post.





saludos



ms, 24-01-2005

Responder

Volver a “Foro HijackThis - copia y pega tu log”