Páginas que se abren solas (extraño muy extraño)

fontano · Mensaje por **fontano** » 22 Ago 2004, 07:09

Todo comenzó ayer compañeros. El Kav actualizado detectó unos virus, ~~[b]~~TrojanDownloader.Win32.Agent.bg[/b] y otros con el mismo nombre pero con extensión .e en una aplicación ~~[b]~~TargetSoftSetup.exe[/b] que ya no existe porque se borró. Luego, le pasé el ad-aware SE y spybot (actualizados también) y me detecto varios bichos que también eliminó. El tema es que ahora cada 5 minutos se abren solas las páginas del explorer, generalmente son pages de seguridad, y como nuevos procesos activos tengo el ~~[b]~~Rundll32.exe[/b] con mi nombre de usuario (que nunca antes estuvo activo) y el ~~[b]~~wuauclt.exe[/b] como system (otro que también es nuevo desde hace unos días, pero que antes podía detener y ahora no). Tenía también activo el cidaemon que deshabilité a través del servicio de index server. Otra cosa extraña es que en el panel de control se han duplicado algunas opciones, como la del sistema por ejemplo. Definitivamente algo muy raro esta pasando en mi pc. Creo tener todos los parches del xp y actualizo casi diariamente las aplicaciones arriba mencionadas. Usé también el CWShredder y el HijackThis pero todo sigue igual. Si alguien puede ayudarme, buenísimo. Saludetes!

Mensaje por **maura63** » 23 Ago 2004, 11:57

Ejecuta el hijackthis , pulsan en scan , cuando termine pulsa SAVE, se abrira un archivo log haz un copiar y pega el resultado como respuesta a este mismo tema.

Saludos

maura63

fontano · Mensaje por **fontano** » 23 Ago 2004, 20:36

Logfile of HijackThis v1.97.7

Scan saved at 13:33:22, on 23/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\WinAVI Video Converter\WinAvi.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

D:\Backup\CDUNO\SOFT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 61.30.47.22:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Descargar TODO con FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar usando FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1091940774542

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D7C9E35A-0184-4FE0-B10D-192B49E4610A}: NameServer = 200.48.225.146,200.48.225.130

Gracias maura63. Espero tu ayuda.

Mensaje por **cañera** » 23 Ago 2004, 20:44

veo que tienes el messenger plus,¿sabes si fue a raiz de la instalación de est e cuando comenzaron tus problemas?

es que al no ser un programa original de microsoft está dando problemas con paginas de inicio,talvez sea la raiz del tuyo.

esperamos respuesta.

fontano · Mensaje por **fontano** » 23 Ago 2004, 22:40

Gracias también por estar ahí cañera. Mi problema comenzó cuando el KAV detectó el troyano al que hago mención al inicio de mi post. El Messenger Plus lo tengo desde hace tiempo y nunca me dió lata. Si pueden seguir ayudándome, buenísimo. Saludetes!

Mensaje por **cañera** » 23 Ago 2004, 22:54

pues pasa el kav en a modo prueba de errores desactivando restaurar sistema haber si lo puedes solucionar de esa manera;

inicio/mi pc,clicas con boton derecho/propiedades/restaurar sistema,lo desactivas y aceptas,apagas el pc,lo enciendes y pulsas repetidas veces F8 y en el menu que te aparece escoges la opcion modo seguro.

[color=red]cuentanos como te fue[/color]

fontano · Mensaje por **fontano** » 24 Ago 2004, 00:18

Gracias de nuevo cañera. Esa fue una de las primeras cosas que hice para librarme de estos fucking bichos, pero parece que se resisten todo. Ya me veo sentado yo y el inevitable format c:

Buáaaaaaaaaaaaa!!!

Saludetes y gracias como siempre.

Mensaje por **cañera** » 24 Ago 2004, 00:44

no formatees todavía.

tienes adsl?

si fuera asi pasale un antivirus online en a modo seguro con función de red.

puede ser falsa alarma del rav o que este te elimine lo que encuentre...

en ese link encontraras los antivirus on lines.

cuentanos como te fue.

Mensaje por **maura63** » 25 Ago 2004, 11:05

Puede que el problema este aqui

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 61.30.47.22:8080

Saludos

maura63

fontano · Mensaje por **fontano** » 25 Ago 2004, 18:45

Gracias por estar ahí nuevamente maura63. Te cuento que esa es la referencia del proxy que uso cuando quiero un poco de anonimato. Además, las ventanas se abren solas cuando no tengo activado ese proxy. Si pueden seguir ayudándome, buenísimo. Saludetes!

Mensaje por **maura63** » 25 Ago 2004, 19:03

Comprueba que no tienes archivos ocultos y que se muestren las verdaderas extenciones de los archivos.

Vuelves a pasar el hijackthis y si te sale algo nuevo que no este en el anterior scan del programa lo pegas aqui.

Saludos

maura63

fontano · Mensaje por **fontano** » 26 Ago 2004, 02:48

Hola a todos!

Finalmente pude solucionar mi problema con las ventanas que se abren solas. Se trata del troyano Qhost.gen. Lo detectó el scan online del Panda (y yo que creía que el Kaspersky era el mejor!. Jamás lo detectó!. Una pena, ya tenía tiempo con el KAV. Ahora sólo pienso en cambiarlo. Alguna sugerencia?). Les dejo el link por si hace falta. Aquí hablan de su posible solución:

http://alerta-antivirus.red.es/foros/read.php?f=5&i=2907&t=2897

Mi problema ahora, es reparar el problema que tengo con las opciones que se duplican en el panel de control. Un abrazo a todos por ahí y gracias per tuto. Orvuar!