problemas con las librerias lsd y la falta de internet.

[jalgach]

buenos dias soy nuevo en este foro y ento de consultarles para los checar algo..pero la verdad es que ya no doy con el problema...todo comenzo cuando mi antivirus panda detecto en virus que se identifica como totour.exe y lo eliminaba al rato ya no tenia conexiona internet entonces decidi pasarle una herramientas como el superantispyware y el ccleaner en modo a prueba de fallos asi como tratar de eliminar el archivo con killbox...pero al reiniciar el archivo ahi esta de nuevo se vuelve a desinfectar y al rato no hay internet..por lo cual decidi pasarle el elistara lo cual al perecer detecto un archivo que se llama j.dll.vir>psw-lsp o algo asi el chiste es que lo elimino y ahora ya no tengo internet de plano ya n entra y ademas al panda me manda un mensaje que dice que error en la libreria lsp y que me recomienda instalarla de nuevo y que es probable que por eso no tenga conexion a internet, le doy reinstalar y me dice que se han reinstalado correctamente y que debo reiniciar...reinicio y lo mismo no cambia nada y me vuelve a mandar el error de la libreria y no tengo internet....espero me ayuden pronto por que es el servidor de mi cibercafe y no puedo tenerlo asi...aqui les mando el hijack para que lo analizen de antemano, gracias.



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:53:51 a.m., on 24/08/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\pavsrv51.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\mobile PhoneTools\WatchDog.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\APVXDWIN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Documents and Settings\ADMIN\Escritorio\Ares.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrls.exe

C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\psimsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

c:\archivos de programa\prodigy antivirus\prodigy antivirus\WebProxy.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {3F3714A1-89A4-46be-8AF3-D0C9D1FB03F9} - (no file)

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Archivos de programa\Yahoo!\Common\yiesrvcmx.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {D73F49B1-B51B-4d32-A3B7-BD04B8342F53} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {3F3714A9-89A4-46be-8AF3-D0C9D1FB03F9} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [WatchDog] C:\Archivos de programa\mobile PhoneTools\WatchDog.exe

O4 - HKLM\..\Run: [LanzarL2007] "C:\DOCUME~1\ADMIN\CONFIG~1\Temp\{78D2CA0F-3EF3-4C75-AD01-7257CAF3D859}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x000a"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\ARCHIV~1\Nero\data\Xtras\mssysmgr.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Supervise.exe] C:\WINDOWS\System32\Supervise.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8

O4 - HKCU\..\Run: [ares] "C:\Documents and Settings\ADMIN\Escritorio\Ares.exe" -h

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Search -

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O10 - Broken Internet access because of LSP provider 'c:\windows\system32\j.dll' missing

O16 - DPF: Yahoo! Fleet - http://download2.games.yahoo.com/games/clients/y/fltt3_x.cab

O16 - DPF: Yahoo! Literati - http://download2.games.yahoo.com/games/clients/y/tt4_x.cab

O16 - DPF: Yahoo! Poker - http://download2.games.yahoo.com/games/clients/y/pt3_x.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://dmorlo.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_ES_XP.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-704d12c4613ffced.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2369D443-3B7F-4784-A917-348D3347E7EF}: NameServer = 192.168.254.254

O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32\svchost.exe:exe.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\PsCtrls.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\pavsrv51.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\psimsvc.exe

O23 - Service: Remote Procedure Call System(RPCScvb) (RpcScfgb) - Unknown owner - C:\WINDOWS\System32\RpcScvb.exe (file missing)

O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe

O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe



--

End of file - 8375 bytes

[msc hotline sat]

Empezando por que le faltan todos los parches de microsoft, tiene tantas cosas raras que cualquier cosa que nos explique es poco!



Empiece instalando el SP1 y tras ello lance un windowsupdate para instalar el SP2 y posteriores:





FALTA DE PARCHES SP1



INSTALACION DEL SP1 DEL XP PARA PODER INSTALAR EL SP2: (O SEGUIR CON EL WINDOWSUPDATE)



http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx



(SE DEBE ESCOGER IDIOMA...)







FALTA DE PARCHES SP2



Deben actualizarse los parches de MICROSOFT. Le faltan todos los del SP2 y posteriores. Lance un windowsupdate !!!.







WINDOWSUPDATE:



https://support.microsoft.com/es-es/help/12373/windows-update-faq



_____



Luego tienes una especie de Panda antivirus en una rutas atipicas, pero si es to es voluntario, sería lo de menos si no tienes problema con ello:



C:\Archivos de programa\Prodigy Antivirus\Prodigy Antivirus\ ???



_____



TIenes esta clave que podría ser de Morpheus pero sin indicar fichero, eliminala:



O2 - BHO: (no name) - {3F3714A1-89A4-46be-8AF3-D0C9D1FB03F9} - (no file)



(la logica seria O2 - BHO: MorpheusToolbar BHO - {3F3714A1-89A4-46be-8AF3-D0C9D1FB03F9} - C:\Program Files\MorpheusBar\bar\2.bin\MORPHBAR.DLL)



_____





Otro tanto con estas otras dos, por lo mismo:



O2 - BHO: (no name) - {D73F49B1-B51B-4d32-A3B7-BD04B8342F53} - (no file)



O3 - Toolbar: (no name) - {3F3714A9-89A4-46be-8AF3-D0C9D1FB03F9} - (no file)



eliminalas.



_____





Esta clave es muy sospechosa:



O4 - HKLM\..\Run: [LanzarL2007] "C:\DOCUME~1\ADMIN\CONFIG~1\Temp\{78D2CA0F-3EF3-4C75-AD01-7257CAF3D859}\{D1DA2BA 7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x000a"



Un setup.exe lanzado en cada reinicio desde una carpeta temporal ??? si no la conoces ni es voluntaria, eliminala tambien.





_____



Esta clave promete ...



O4 - HKCU\..\Run: [Supervise.exe] C:\WINDOWS\System32\Supervise.exe



mira lo que probablemente es: http://www.hacksoft.com.pe/virus/w32_reyds_a.htm



en consecuencia elimina dicha clave



_____



y esta eliminala tambien:



O8 - Extra context menu item: &Search -



_____



Para esta O10 :



O10 - Broken Internet access because of LSP provider 'c:\windows\system32\j.dll' missing





debes lanzar el LPSFIX:



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-FIX[/b][/url]



· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-FIx[/b][/url] (Español)



______



Esta clave descarga un troyano:



O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_ES_XP.cab


[quote]File svcia32_ES_XP.cab received on 08.24.2007 18:41:54 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED





Result:

Loading server information...

Your file is queued in position: 3.

Estimated start time is between 48 and 68 seconds.

Do not close the window until scan is complete.

The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.

If you are waiting for more than five minutes you have to resend your file.

Your file is being scanned by VirusTotal in this moment,

results will be shown as they're generated.

Compact Print results

Your file has expired or does not exists.

Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.



You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Email:





Antivirus Version Last Update Result

AhnLab-V3 2007.8.25.0 2007.08.24 -

AntiVir 7.4.1.63 2007.08.24 DIAL/16384.A.33

Authentium 4.93.8 2007.08.24 -

Avast 4.7.1029.0 2007.08.24 Win32:Pcclient-BO

AVG 7.5.0.484 2007.08.24 Potentially harmful program Dialer.DOM

BitDefender 7.2 2007.08.24 Dialer.Egroup.DT

CAT-QuickHeal 9.00 2007.08.23 -

ClamAV 0.91 2007.08.24 -

DrWeb 4.33 2007.08.24 -

eSafe 7.0.15.0 2007.08.23 Win32.Dialer.gen

eTrust-Vet 31.1.5084 2007.08.24 -

Ewido 4.0 2007.08.24 Dialer.Egroup

FileAdvisor 1 2007.08.24 -

Fortinet 2.91.0.0 2007.08.24 -

F-Prot 4.3.2.48 2007.08.24 -

F-Secure 6.70.13030.0 2007.08.24 -

Ikarus T3.1.1.12 2007.08.24 not-a-virus:Porn-Dialer.Win32.EgroupDial.ac

Kaspersky 4.0.2.24 2007.08.24 not-a-virus:Porn-Dialer.Win32.EgroupDial.ac

McAfee 5105 2007.08.24 potentially unwanted program Generic PUP

Microsoft 1.2803 2007.08.24 Dialer:Win32/EGroupInstantAccess.A

NOD32v2 2482 2007.08.24 probably a variant of Win32/Dialer.Egroup

Norman 5.80.02 2007.08.24 -

Panda 9.0.0.4 2007.08.24 Trj/Downloader.MDW

Additional information

File size: 21329 bytes

MD5: bf02d7bfab5e1655069246fb213ca2f9

SHA1: fd02e4883e1b80bbcee2b9cce4ae6c8d1dc5f3c3

packers: UPX

packers: UPX

packers: UPX

packers: UPX
[/quote]



eliminala



______



y esta clave tambien parece ser maliciosa:



O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32\svchost.exe:exe.exe (file missing)



ver informacion al respecto en:



http://www.prevx.com/filenames/X1370008272109980521-X1/SVCHOST.EXE:EXE.EXE.html





eliminala



_____



y estas dos claves tambien eliminalas:



O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)



O23 - Service: Remote Procedure Call System(RPCScvb) (RpcScfgb) - Unknown owner - C:\WINDOWS\System32\RpcScvb.exe (file missing)





______







->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334







y tras ello, por si con todo ello se hubieran dañado ficheros del sistema o perdido algunos, si hay algun problema, procede a REPARAR el sistema:




[quote="para REPARAR WINDOWS, msc"]

Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]





y tras ello, indiquenos el resultado, y si persiste algun problema procederemos en consecuencia



pero vaya cuadro ... ! :roll:



saludos



ms, 24-08-2007

[jalgach]

si vaya cuadro se ve terrible ..pero espero y tu ayuda me saque adelante...gracias por responder hoy mismo y pronto te doy seguimiento...saludos.

[msc hotline sat]

Todo está claro, pero tendrás que currar un poco.



Pregunta en lo que tengas alguna duda



saludos



ms, 25-08-2007