Se bloque al Pc con el explorador de Windows

mabg68 · Mensaje por **mabg68** » 02 Ene 2008, 03:27

En una maquina con W98 que tengo para utilizar emule - se me bloquea al abrir el icono de - My Computer , My Documents , Windows Explorer - es decir cuando quiero abrir el explorador de Windows - utilizo el "explorador" que viene con el Ccleaner - para poder ver mis archivos - ya revise la PC en modo seguro con Spyware , Spybot y loas antivirusonline y no me detecta nada - este es el resultado con

------

Logfile of HijackThis v1.99.1

Scan saved at 08:10:53 p.m., on 01/01/08

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\PSSVC.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\DMI\BIN\WIN32SL.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE

c:\windows\SYSTEM\KB891711\KB891711.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS 2007\PSIMSVC.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\PROGRAM FILES\TELMEX\VISUAL IP INSIGHT\TELMEX\IPCLIENT.EXE

C:\PROGRAM FILES\TELMEX\VISUAL IP INSIGHT\TELMEX\IPMON32.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS 2007\APVXDWIN.EXE

C:\PROGRAM FILES\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE

C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\DMI\BIN\DNAR.EXE

C:\DMI\BIN\NODEMNGR.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS 2007\WEBPROXY.EXE

C:\PROGRAM FILES\CCLEANER\CCLEANER.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\MY DOCUMENTS\MUSICA\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe

O4 - HKLM\..\Run: [Disknag] C:\DELL\DISKNAG.EXE

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [IPInSightLAN 01] "C:\PROGRAM FILES\TELMEX\VISUAL IP INSIGHT\TELMEX\IPClient.exe" -l

O4 - HKLM\..\Run: [IPInSightMonitor 01] "C:\PROGRAM FILES\TELMEX\VISUAL IP INSIGHT\TELMEX\IPMon32.exe"

O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup

O4 - HKLM\..\RunServices: [AutoShutdown] C:\WINDOWS\pssvc.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [DMILDR] C:\DMI\bin\dmildr.exe

O4 - HKLM\..\RunServices: [Win32SL] C:\DMI\BIN\Win32sl.EXE -i -p -r

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE

O4 - HKLM\..\RunServices: [KB891711] c:\windows\SYSTEM\KB891711\KB891711.EXE

O4 - HKLM\..\RunServices: [PSIMSVC] "C:\Program Files\Panda Software\Panda Antivirus 2007\PSIMSVC.exe"

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\PROGRAM FILES\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Startup: Anapod Manager.lnk = C:\Program Files\Red Chair Software\Anapod Explorer\anamgr.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.5.0_09\BIN\SSV.DLL

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.5.0_09\BIN\SSV.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

O9 - Extra button: Dell Home - {FFF839A0-5458-11D4-B432-00B0D0722A2F} - http://www.dell.com/la/la/en/gen/default.htm (file missing) (HKCU)

O12 - Plugin for .aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.prodigy.com.mx

O16 - DPF: {E87A6788-1D0F-4444-8898-1D25829B6755} (MSN Chat Control 4.0) - http://fdl.msn.com/public/chat/msnchat4.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by121fd.bay121.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascinstie.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_ansi.cab

O20 - Winlogon Notify: !SASWinLogon - C:\PROGRAM FILES\SUPERANTISPYWARE\SASWINLO.DLL

--------------------------------------------------

Mensaje por **msc hotline sat** » 02 Ene 2008, 08:06

Pues envianos estos ficheros sospechosos para analizar:

C:\WINDOWS\PSSVC.EXE

C:\DMI\BIN\WIN32SL.EXE

C:\DMI\BIN\DNAR.EXE

C:\DMI\BIN\NODEMNGR.EXE

C:\PROGRAM FILES\TELMEX\VISUAL IP INSIGHT\TELMEX\IPClient.exe

y este boton, "DELL HOME", dinos si lo conoces, sino elimina esta clave:

O9 - Extra button: Dell Home - {FFF839A0-5458-11D4-B432-00B0D0722A2F} - http://www.dell.com/la/la/en/gen/default.htm (file missing) (HKCU)

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 2-1-2008

mabg68 · Mensaje por **mabg68** » 02 Ene 2008, 09:41

Les mando los archivos que me pidieron para su analisis el password del .rar es VIRUS en mayusculas.

La referencia

O9 - Extra button: Dell Home - {FFF839A0-5458-11D4-B432-00B0D0722A2F} - http://www.dell.com/la/la/en/gen/default.htm (file missing) (HKCU)

no la conozco , pero tengo una maquina DELL , pero igual la elimino

Mensaje por **msc hotline sat** » 02 Ene 2008, 12:12

Diganos si tras eliminar la clave y reiniciar, persiste la anomalia, y si es asi, mientras se reciben y están en cola para analizar (hoy hay muchos debido a las fiestas), suba los ficherfos al Virus Total : vvv.virustotal.com/es y si alguno de ellos le da positivo detectandolo unos cuantos antivirus, renombre su extension a .VIR y nos lo comenta, pero se supone que tras reiniciar ya estará "aparcado" el problema.

saludos

ms, 2-1-2008

Mensaje por **msc hotline sat** » 02 Ene 2008, 16:38

Pues el IPClient.EXE es de Visual Network, el WIN32SL.EXE de Intel y los demas de DELL

No parece haber lugar a tomar medidas al respecto...

Mas bien que está usando un sistema obsoleto y puede que alguna utilidad ya no funcione en él.

Diganos cuanta RAM tiene instalada, que en W98 puede ser contraproducente...

Y añadir que debe migrar a un sistema actual, por ejemplo XP.

saludos

ms, 2-1-2008

NOTA: Aunque el KERNEL32 es logico que sea del sistema, diganos el tamaño que tiene, asi ya veremos que no se trata de algun marrano disfrazado con dicho nombre, que de haberlos, ahilos...

ms.

Mensaje por **msc hotline sat** » 02 Ene 2008, 16:39

Pues el IPClient.EXE es de Visual Network, el WIN32SL.EXE de Intel y los demas de DELL

No parece haber lugar a tomar medidas al respecto...

Mas bien que está usando un sistema obsoleto y puede que alguna utilidad ya no funcione en él.

Diganos cuanta RAM tiene instalada, que en W98 puede ser contraproducente...

Y añadir que debe migrar a un sistema actual, por ejemplo XP.

saludos

ms, 2-1-2008

NOTA: y aunque probablemente sea del sistema, diganos el tamaño que tiene este fichero:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

pues ya con esto sabremos si se trata de algun malware que utiliza dicho nombre, que de haberlos hailos- ms.

mabg68 · Mensaje por **mabg68** » 04 Ene 2008, 04:13

El c:\windows\system\kernel32.dll mide 471,040 bytes - lo que hice fue quitar el panda-antivirus y meti el AVG que no me reporto nada anormal y hasta ahorita ya no se me bloquea - sigo con W98 por que el emule me funciona mejor que con una laptop con XP - de memoria tengo 128.

Cualquier cosa que surga y no pueda solucionarlo volvere a pedir su valiosa colaboracion.

Gracias y Feliz año. Saludos

Mensaje por **msc hotline sat** » 04 Ene 2008, 06:12

Bien, pues mucho cuidado si sigues con él, pues ya es obsoleto y no tiene soporte de microsoft...

Y en windows\system el Kernel32.DLL media mas o menos eso, asi que lo damos por normal.

Dando por solucionado el Tema, procedemos a cerrarlo.

Si nos necesitas de nuevo, ya sabes donde estamos.

saludos

ms, 4-1-2008

Se bloque al Pc con el explorador de Windows

Se bloque al Pc con el explorador de Windows

Se bloque la PC al abrir el explorador

Se bloque la Pc al abrir el explorador