Problema con el Zone Alarm (SOLUCIONADO)

Cerrado
advark
Mensajes: 4
Registrado: 02 Abr 2007, 01:46

Problema con el Zone Alarm (SOLUCIONADO)

Mensaje por advark » 02 Abr 2007, 01:57

Que tal, tengo un problema parece que un archivo dll, se me perdio o no se que sea. pero cuando entro a windows me sale esto

Validation failed for C:\WINDOWS\system32\ZoneLabs\fbl.dll



Cuando entro a internet, no puedo acceder a alguna pagina me sale errores de que el tiempo de espera es muy largo.



Pego el log con el Hijackthis



Logfile of HijackThis v1.99.1

Scan saved at 17:58:44, on 1/4/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Persystems\Perav\PERVACNT.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\temp1.exe

C:\WINDOWS\system32\temp2.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\ARCHIV~1\PERSYS~1\Perav\pertsk.exe

C:\Archivos de programa\Persystems\Perav\PAVSS.EXE

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\HJT\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.geocities.com/hedda_marie_tolentino/index.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvVideoCenter] C:\WINDOWS\System32\NvVid.exe

O4 - HKLM\..\Run: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Avg Antivirus] C:\WINDOWS\system32\icpldrvx.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/229?4825a8b6a6574551b2523b9187493465

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-xl\msntabres.dll.mui/230?4825a8b6a6574551b2523b9187493465

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROProj.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .wmv: C:\Archivos de programa\Netscape\Communicator\Program\PLUGINS\npdsplay.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{FB0A2E27-2F74-444E-AA29-0CE5D76A86BB}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\System32\svshost.dll (file missing)

O21 - SSODL: msvcrt64.dll - {30A6B7FD-BD92-48C2-B78C-EF76F2D54292} - msvcrt64.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe

O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE

O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Archivos de programa\Persystems\Perav\PERVACNT.EXE

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

kikke
Mensajes: 151
Registrado: 16 Mar 2004, 18:48
Ubicación: Murcia (España)
Contactar:

Mensaje por kikke » 02 Abr 2007, 03:01

Mientras te solucionan el problema los expertos de aquí....



Eres de Lima (perú)?? tud dns apuntan a telefónica del Peru.



Tienes en el arranque un problema, W32.Kitro.D.Worm un gusano que llega por via mail de origen chileno y que genera esta entrada en el arranque de windows, y se distribuye por tus contactos de tu correo, deberías eliminar las cadenas de arranque ya que tiene una tasa de autoenvío muy alta.

También elimina archivos de algunos antivirus, puede que no puedas desinstalar el antivirus por ello:



HKLM\Software\Microsoft\WindowsCurrent\Version\Run\PAV.EXE = [número]



También puede crear las siguientes entradas:

KAZAAkCuF = [número]

PAV.EXE = [número]

Zonavirus = [número]

BNexe = [Nombre de cualquiera de las copias del gusano]

BN = c:\BanderaNegra.vbs



En fín no sé si alguna utilidad de aquí eliminará la cadena de arranque, pero puedes hacerlo tú eliminando de el arranque las cadenas arriba mostradas(si aparecen)

Pulsa inicio-ejecutar-regedit y buscas la cadena mostrada arriba y eliminas las entradas que te he mostrado.



Todas las entradas del log de hijackthis que veas (file missing) puedes eliminarlas, recuerda pasar un antivirus on-line y quedamos a la espera de lo que nos aconsejan los moderadores.







Saludos ¡¡¡
Cuando señales a alguien con el dedo, recuerda que tres apuntan a ti.

advark
Mensajes: 4
Registrado: 02 Abr 2007, 01:46

Mensaje por advark » 02 Abr 2007, 07:48

Me podrias explicar mejor como hago eso por que cuando ejecuto regedit me sale algo de HKEY_ entiendo mucho eso

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 02 Abr 2007, 08:04

Mejor no toque el REGEDIT...



Gracias kikke, y sí, los DNS server son de su ISP.



Complementando lo indicando por kikke, vemos que tienes dos ficheros sospechosos :



C:\WINDOWS\system32\temp1.exe



C:\WINDOWS\system32\temp2.exe





y este otro que es malware seguro:



C:\WINDOWS\svchost.exe



envienos muestra de dichos ficheros para analizar, para ello recuerde:



Y de entrada pruebe estas utilidades que le detectaran y eliminarán los ya conocidos como el que vemos que tambien tiene "icpldrvx.exe" que es un virus de MSN





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







saludos



ms, 2-04-2007

advark
Mensajes: 4
Registrado: 02 Abr 2007, 01:46

Mensaje por advark » 02 Abr 2007, 15:41

Que tal, gracias parece que ahora si puedo entrar al msn a

aqui les cuelgo el post





Mon Apr 02 00:36:34 2007

EliTriIP v3.40 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\AUTORUN.INF --> Eliminado

C:\WINDOWS\SVCHOST.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\TEMP1.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\TEMP2.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\SVKP.SYS --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Mon Apr 02 00:37:03 2007

EliTriIP v3.40 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\host.exe --> Eliminado, Perlovga(dr)

Exploración Detenida por el Usuario.



Mon Apr 02 00:39:35 2007

EliStartPage v13.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\WINDOWS\SYSTEM32\OLEEXT.DLL --> Eliminado Oleloa)

C:\WINDOWS\SYSTEM32\CERTCCLIE.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\MSEXNPFI.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\INISTONE.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Avg Antivirus"="C:\WINDOWS\system32\icpldrvx.exe"

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Apr 02 00:40:52 2007

EliStartPage v13.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\SmartDraw 7\SDOFFICEADDIN.DLL --> Eliminado, BB Bargains

C:\MATLAB6p5\sys\lcc\bin\PEDUMP.EXE --> Eliminado, DownLoader.Vixup

C:\Program Files\AutoCAD 2004\ADIMON2.DLL --> Eliminado, AltNet

C:\WINDOWS\FSSCRCTL.EXE --> Eliminado, CyDoor

C:\WINDOWS\system32\spool\drivers\w32x86\AD2KUIGP.DLL --> Eliminado, Hotbar

C:\WINDOWS\system32\spool\drivers\w32x86\3\AD2KUIGP.DLL --> Eliminado, Hotbar

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart



Mon Apr 02 01:04:06 2007

EliTriIP v3.40 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Mon Apr 02 01:04:16 2007

EliTriIP v3.40 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 02 Abr 2007, 16:01

Pues ya solo indicarle que actualice los parches de microsoft con un windowsuodate, que buena falta le hace !!!



Y ya no hace falta que nos envie las muestras, dado que ya eran conocidas por nuestras utilidades y han sido eliminadfas.



Y dando el Tema por solucionado, procedemos a cerrarlo



si nos necesita de nuevo, ya sbe donde estamos



saludos



ms, 2-04-2007

Cerrado

Volver a “Foro Firewalls y Cortafuegos”