No puedo scanear mi ordenador y otros demonios

[Pitalito]

Hola, agradecería muchisimo si alguien me pudiera ayudar con mi ordenador. Desde hace varios dias mi ordenador empezó a comportarse de forma extraña, se bloquea cuando veo una película, no me permite usar ningun reproductor de CD, está super lento, no me permite scanearlo completamente, llega a un punto y se para el scaner, algunas noches lo he dejado scaneando a las 11:00pm y en la mañana tipo 10:00 aún no ha terminado. Al escribir es como si fuera en cámara lenta, no me deja abrir la página de hotmail ni emule plus, tuve que desinstalarlo e instalar una versión antigua, en fin creo que eso es todo, o por lo menos lo que recuerdo por ahora, ojalá el consejo no sea comprar una pc nueva. Agradezco de antemano la ayuda.

[lucl]

Ejecuta hijackhthis y veamos que tienes en el pc, saludos







[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

[Pitalito]

Hola, gracias por la rapidez de tu respuesta, aqui te envío el reporte:



Logfile of HijackThis v1.99.1

Scan saved at 0:16:36, on 08/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\PSIService.exe

C:\Archivos de programa\KGB\Mpk.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\live.messenger.com

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Logitech\Video\FxSvr2.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\FotoStation Easy\FotoStation Easy AutoLaunch.exe

C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Java\jre1.6.0_02\bin\jucheck.exe

C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\system32\spider.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\sol.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\KATHER~2\CONFIG~1\Temp\Rar$EX17.797\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.es/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsidan.telia.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://es.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://es.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://es.search.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://es.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://es.search.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\yt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\yt.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [MSN Messenger] live.messenger.com

O4 - HKLM\..\Run: [BM8bef5413] Rundll32.exe "C:\WINDOWS\system32\epilvlsk.dll",s

O4 - HKLM\..\Run: [88dc678f] rundll32.exe "C:\WINDOWS\system32\unagchtw.dll",b

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [aff] C:\Archivos de programa\aRGENTeaM\aRGENTeaM File Feeder\aff.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: IMVU.lnk = C:\Archivos de programa\IMVU\IMVUClient.exe

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmeses.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Katherine Trujillo\Menú Inicio\Programas\IMVU\Run IMVU.lnk (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {639658F3-B141-4D6B-B936-226F75A5EAC3} (CPlayFirstDinerDash2Control Object) - http://webgames.d.tmsrv.com/c=a8aae10b4722dc9613b22bddd81edb0a/aff=t_25oa_esca_wg/p/release/playfirst/wg_dinerdash2/dinerdash2/DinerDash2.1.0.0.48.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

[msc hotline sat]

Tienes ficheros sospechosos desconocidos:



C:\WINDOWS\live.messenger.com



C:\WINDOWS\system32\epilvlsk.dll



C:\WINDOWS\system32\unagchtw.dll



C:\Archivos de programa\aRGENTeaM\aRGENTeaM File Feeder\aff.exe



envianoslos y los analizaremos e informaremos:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 8-3-2008

[Pitalito]

Hola, no había respondido antes pues intentaba de muchas maneras enviar el archivo con los ficheros que me indicaste, infortunadamente no pude hacerlo, no sé de qué otra manera te los puedo hacer llegar

[Pitalito]

Finalmente he podido enviarte los ficheros, gracias por la ayuda

[msc hotline sat]

Pues dentro de 5 horas veremos si han llegado a SATINFO y los analizaremos e informaremos.



Mientras mira lo que hay al respecto:



http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=7581



Los dos DLL parecen ser nombres aleatorios que por el nombre no identifican nada, ya veremos lo que son cuando los analicemos, de momento solo sospechosos...



y el último AFF.EXE puede estar relacionado con un SDBOT, segun lo indicado en:



http://www.prevx.com/filenames/2139512997792233197-0/AFF.EXE.html



Uno o varios malwares, ya veremos ...



saludos



ms, 10-3-2008

[Pitalito]

Hola, hola, de nuevo yo, en vista de que me han olvidado, doy una patadita de ahogada a ver si me recuerdan y me tiran un salvavidas. No sé si recibieron mi correo con los ficheros, en caso de no haberlos recibido les agradecería mucho me lo hicieran saber así trataré de enviarlos de nuevo... chicos por favor, que mi pc me está volviendo locaaaaaaa!!!

[msc hotline sat]

No te hemos olvidado, simplemente si no se recibe nada tuyo, nada podemos analizar...



Repite el envio, y pide ayuda a algun amigo para ello, si es necesario.



Recuerda:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 13-3-2008







NOTA:



y para saber si lo envias bien, enviate lo mismo a tu cuenta de correo, y sabrás si lo recibes... y lo que recibes :wink:

[Pitalito]

Hola, acabo de enviar de nuevo el archivo, espero esta vez lo reciban, por favor me pueden avisar si lo han recibido? Lo envié a otra cuenta mía y lo recibí aunque no me dejó abrir el archivo adjunto puesto que los antivirus tanto de hotmail como de yahoo lo han detectado como un virus el cual no pudieron eliminar.

Gracias por las molestias que se toman con mi problema

[lucl]

Pues ya hasta mañana no te podran decir nada pero estate tranquila que cuando lo analicen te diran algo, saludos

[msc hotline sat]

Evidentemente esperamos que lo haya enviado empaquetado con password VIRUS, para que no sea interceptado por los antivirus de los servidores de Internet por donde pasa.



(tal como indicamos en el link con la forma de envio)



Si mañana lo recibimos, se analizará e informará en consecuencia.



Sino, señal que no lo ha hecho adecuadamente.



En tal caso repitalo y hagalo como se indica



saludos



ms, 13-3-2008

[msc hotline sat]

Recibidas las muestras, un analisis previo indica que las dos DLL son de la familia VUNDO, que pasaremos a controlar con el ELISTARA, intentaremos que sea con la version 15.87 que estamos haciendo



El otro fichero es un .PF y no sirve para monitorizar. Debes enviarnos el que se te indicaba, :



C:\WINDOWS\live.messenger.com



no el que has enviado que debía estar en C:\WINDOWS\prefetch\ ...



Seguiremos informando



saludos



ms, 14-3-2008

[msc hotline sat]

No ha terminado la monitorizacion de las DLL y en consecuencia no se ha podido aplicar las correcciones en la nueva version de hoy del ELISTARA antes de compilarla, lo cual ya ese está haciendo sin ello



El lunes seguiremos



De todas maneras, prueba dicha version y nos posteas el resultado, pues posiblemente ya se aparquen y, tras reiniciar, provisionalmente solucionen tu problema


[quote][b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 14-3-2008

[msc hotline sat]

Terminado el proceso de analisis y monitorizacion, hemos implementado el control y eliminacion de las dos DLL como dos nuevas variantes del VUNDO 5, que seran controladas con la nueva version 15.88 del ELISTARA de hoy



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 17-03-2008

[Pitalito]

Hola, he tenido serios problemas para entrar a vuestra pagina y por consiguiente para descargar el programa que en ella me indican, ahora mismo estoy en casa de un amigo acabo de descargar el programa y lo llevare a mi pc mediante un pendrive, espero poderlo ejecutar alli, en caso contrario les escribire de nuevo, me pregunto si hay manera de que vosotros me respondan directamente a mi correo, asi podre seguir los pasos que me indiquen. Es super raro que no pueda acceder a vuestra pagina desde mi ordenador, antes no podia entrar a la pagina de hotmail y ahora tampoco a la vuestra, por lo visto el o los virus que tengo en mi pc han ganado terreno.

Gracias por las molestias que se toman en mi caso

[Pitalito]

Hola, he tenido serios problemas para entrar a vuestra pagina y por consiguiente para descargar el programa que en ella me indican, ahora mismo estoy en casa de un amigo acabo de descargar el programa y lo llevare a mi pc mediante un pendrive, espero poderlo ejecutar alli, en caso contrario les escribire de nuevo, me pregunto si hay manera de que vosotros me respondan directamente a mi correo, asi podre seguir los pasos que me indiquen. Es super raro que no pueda acceder a vuestra pagina desde mi ordenador, antes no podia entrar a la pagina de hotmail y ahora tampoco a la vuestra, por lo visto el o los virus que tengo en mi pc han ganado terreno.

Gracias por las molestias que se toman en mi caso

[msc hotline sat]

No contestamos particularmente. Todas las respuestas se ofgrecen en el foro para aprovechamiento de todos.



Revisa el fichero HOSTS, no sea que tengas redireccionada nuestra URL. Editalo (está en C:\windows\system32\drivers\etc\ Si quieres, posteanloslo con un copiar y pegar de su contenido y lo revisaremos)



Y si quieres provar, configura otros servidores de DNS, por ejemplo los de tu amigo con los que llegas bien.



saludos



ms, 19-03-2008

[msc hotline sat]

Recibidas dos nuevas muestras, corresponden a CONHOOK y a VUNDO9, que pasamos a controlar con la nueva version 15.91 del ELISTARA de hoy



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Recuerde que para el VUNDO9, tras reiniciar y persistir el mensaje de ACCESO DENEGADO, decimos:



https://foros.zonavirus.com/viewtopic.php?f=5&t=23759



saludos



ms, 25-03-2008