PROBLEMAS INICIO WINDOWS (W2K sp4) (CERRADO)

nimasnimenos · Mensaje por **nimasnimenos** » 14 Dic 2007, 20:43

Hola. Antes de nada, decir que uso Windows 2000 SP4, como antivirus uso Kaspersky Antivirus 6 y como firewall el iSafer.

Ayer noche, Kaspersky me advirtio de que tenia procesos en ejecucion y que eran troyanos. Los procesos eran los siguientes:

pp.exe

sydtem.dll

44.exe

Estos archivos se encontraban en C:/WINNT/system32.

Elimine los 3 archivos mediante Kaspersky y despues comprobe mediante el administrador de tareas los procesos que tenia activos. Encontre 2 bastante sospechosos (ambos estaban tambien en la carpeta C:/WINNT/system32):

SCVHOST.INI (buscando por internet vi que era un virus)

SVCH0ST.EXE (no es el svchost de toda la vida, pues en el nombre en vez de una "o" tiene un cero... buscando por internet tambien vi que era un virus).

Elimine estos 2 archivos de forma manual, pues el Kaspersky no me los reconocia como virus.

Despues, pase el SpyBot Search&Destroy y me encontro el troyano Smitfraud.C el cual pude reparar sin problemas.

Despues de eso, pase el regcleaner y el ccleaner.

Reinicie el pc y he pasado el Kaspersky, el SpyBot Search&Destroy, el Ad-Aware y no ha encontrado nada en el pc. Tambien he hecho un analisis online desde la pagina de Panda y desde Ewido y no me ha encontrado nada.

El PROBLEMA viene al iniciar el PC. Inicia bien pero cuando se supone que ha cargado todo el sistema, se queda como "bloqueado" durante un minuto mas o menos. Analizando el administrador de dispositivos me he fijado que cuando inicia carga 2 procesos WinMgmt.exe y hasta que uno de los 2 no desaparece (al cabo de un minuto) el pc no responde. No da ningun mensaje de error ni nada por el estilo, simplemente hasta que uno de los 2 WinMgmt.exe no desaparece el pc se queda como en pausa y no reacciona... Eso si, despues el pc funciona como siempre, sin problemas de ningun tipo... Comentar tambien que iniciando el pc en modo seguro me hace exactamente lo mismo.

Este fallo me lo esta dando desde que he tenido el problema este ayer noche...

Bueno, pues ese es el tema... he contado todo lo que paso y todo lo que yo he podido indagar. Alguien sabe por donde podrian venir los tiros?

Cualquier ayuda es bien recibida. De paso, posteo aqui el log que guardó Kaspersky ayer noche.

[i]14/12/2007 1:03:33 Proceso en ejecución C:\WINNT\system32\pp.exe: se detectó una nueva variante de software de riesgo Trojan.generic

14/12/2007 1:03:54 Proceso C:\WINNT\system32\pp.exe (PID 680) con éxito terminado.

14/12/2007 1:04:04 Proceso en ejecución C:\WINNT\system32\pp.exe: se detectó una nueva variante de software de riesgo Trojan.generic

14/12/2007 1:04:47 Proceso C:\WINNT\system32\pp.exe (PID 1692) con éxito terminado.

14/12/2007 1:04:51 Proceso en ejecución C:\WINNT\system32\pp.exe: se detectó una nueva variante de software de riesgo Trojan.generic

14/12/2007 1:04:51 Proceso en ejecución C:\WINNT\system32\pp.exe: se detectó una nueva variante de software de riesgo Trojan.generic

14/12/2007 1:05:06 Proceso C:\WINNT\system32\pp.exe (PID 680) con éxito terminado.

14/12/2007 1:05:11 Deshacer no terminado.

14/12/2007 1:05:11 Proceso en ejecución C:\WINNT\system32\pp.exe: se detectó una nueva variante de software de riesgo Trojan.generic

14/12/2007 1:05:13 Archivo C:\winnt\system32\sydtem.dll: detectado programa troyano Backdoor.Win32.Delf.ckn

14/12/2007 1:05:13 Se detectaron amenazas de seguridad. Se recomienda neutralizarlas inmediatamente.

14/12/2007 1:05:17 Proceso en ejecución C:\WINNT\system32\44.exe: se detectó una nueva variante de software de riesgo Trojan.generic

14/12/2007 1:05:28 Archivo C:\WINNT\system32\sydtem.dll: detectado programa troyano Backdoor.Win32.Delf.ckn

14/12/2007 1:06:00 Objeto de arranque HKLM\System\ControlSet001\Services\DCOMLodueher\Parameters\ServiceDll: eliminado

14/12/2007 1:06:00 Archivo C:\winnt\system32\sydtem.dll: eliminado

14/12/2007 1:06:07 Proceso C:\WINNT\system32\44.exe (PID 828) con éxito terminado.

14/12/2007 1:06:20 Proceso en ejecución C:\WINNT\system32\44.exe: se detectó una nueva variante de software de riesgo Trojan.generic

14/12/2007 1:06:22 Proceso C:\WINNT\system32\44.exe (PID 680) con éxito terminado.

14/12/2007 1:06:22 Proceso en ejecución C:\WINNT\system32\44.exe: se detectó una nueva variante de software de riesgo Trojan.generic[/i]

Gracias adelantadas.

Mensaje por **msc hotline sat** » 14 Dic 2007, 20:59

Pues parece que estos procesos no los has podido eliminar, y posiblemente aun tengas los ficheros:

C:\WINNT\system32\44.exe

C:\WINNT\system32\pp.exe

Pues en tal caso envianoslos para analizar y podremos controlarlos.

Para ello:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Lo que ya hayas eliminado lamentablemente no podemos analizarlo ni controlarlo, pero de lo que nos envies, tras monitorizarlo, implementaremos su control y eliminacion en neustars utilidades, de lo cual informaremos.

saludos

ms, 14-12-2007

nimasnimenos · Mensaje por **nimasnimenos** » 14 Dic 2007, 21:31

Los elimine manualmente (el 44.exe y el pp.exe) pues el kaspersky no lo conseguia... Tenian que ser virus fijo porque la fecha de creacion de esos archivos era justo el dia 14/12/07 a la 1:00 mas o menos (vamos, justo cuando Kaspersky me aviso de ellos)...

No se si con un hijackthis podriamos saber algo mas... Y sobre eso que me pasa con el WinMgmt, es normal???

Salu2.

Mensaje por **msc hotline sat** » 14 Dic 2007, 21:40

Es una lástima que los hayas borrado !

Asi no podemos ayudarte, lo siento.

Otra vez que quieras ayuda, no elimines las pistas...

En consecuencia damos el Tema por terminado y lo cerramos

saludos

ms, 14-12-2007