Ayuda!!

[Quique]

Hola!!

Me presento, me llamo Enrique y os agradezco de antemano la ayuda que me podáis brindar.

Tenía NORTON (Symantec). Hace unos días, el ordenador empezó a hacer cosas incomprensibles ... no me permitía acceder a interner, me llenaba la pantalla de submensajes de Symantec...hasta que me bloqueaba el ordenador.

Quité Symantec, he metido McAfee 2007 y parece haber mejorado algo, después de haber realizado algunos análisis. Sin embargo ahora no puedo ver imágines o enlaces, en su lugar hay cuadritos con un triángulo azul, un círculo verde y un cuadrito rojo.



¿Qué debo hacer?.

Saludos,

[msc hotline sat]

parece como si no tuvieras acceso a las webs o ficheros de dichas imagenes.



Posteanos link de una de ellas, y ya que antivirus vas servido, posteanos log del HJT:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 19-03-2007

[Quique]

Antes de nada, muchísimas gracias.

Te diré que me ha costado un rato hacer lo que sugerías... es que no entiendo mucho.

Muchas gracias, una vez más, por la ayuda.

Un cordial saludo,

Enrique







Logfile of HijackThis v1.99.1

Scan saved at 21:52:32, on 19/03/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWSP\System32\smss.exe

C:\WINDOWSP\SYSTEM32\winlogon.exe

C:\WINDOWSP\system32\services.exe

C:\WINDOWSP\system32\lsass.exe

C:\WINDOWSP\system32\svchost.exe

C:\WINDOWSP\System32\svchost.exe

C:\WINDOWSP\system32\LEXBCES.EXE

C:\WINDOWSP\system32\LEXPPS.EXE

C:\WINDOWSP\system32\spoolsv.exe

C:\WINDOWSP\Explorer.EXE

C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe

C:\ARCHIV~1\McAfee\MSC\mclogsrv.exe

C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe

c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe

c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\ARCHIV~1\McAfee\MSC\mctskshd.exe

C:\ARCHIV~1\McAfee\MSC\mcusrmgr.exe

C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

C:\Archivos de programa\McAfee\MSK\MskSrver.exe

C:\WINDOWSP\System32\svchost.exe

C:\Archivos de programa\McAfee\MPS\mps.exe

C:\Archivos de programa\McAfee\MPS\mpsevh.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\WINDOWSP\System32\wuauclt.exe

C:\WINDOWSP\System32\LXSUPMON.EXE

C:\Archivos de programa\McAfee\MSK\MskAgent.exe

C:\WINDOWSP\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\DOCUME~1\CARMEN~1.QUI\CONFIG~1\Temp\svchots.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\mcafee\msc\mcupdui.exe

C:\ARCHIV~1\mcafee\VIRUSS~1\mcvsshld.exe

C:\Documents and Settings\Carmen.QUIQUE\Configuración local\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: C:\WINDOWSP\System32\x2f4fr.dll - {8D5849C4-93F3-429D-FF34-260A2068897C} - C:\WINDOWSP\System32\x2f4fr.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWSP\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll (file missing)

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\SiteAdv.dll

O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWSP\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWSP\System32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [MskAgentexe] C:\Archivos de programa\McAfee\MSK\MskAgent.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWSP\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [hdlfoe df98ndf] C:\DOCUME~1\CARMEN~1.QUI\CONFIG~1\Temp\svchots.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Search - http://kq.bar.need2find.com/KQ/menusearch.html?p=KQ

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5CBB040A-3A85-4525-92F0-BC9AE0EB6EC4}: NameServer = 85.255.115.93,85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\..\{85792CFE-ED74-45B9-9C87-8AC79381BBCD}: NameServer = 85.255.115.93,85.255.112.14

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

O20 - Winlogon Notify: f3dsl - MSplg7.dll (file missing)

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\ARCHIV~1\ARCHIV~1\McAfee\EmProxy\emproxy.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWSP\system32\LEXBCES.EXE

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe

O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mclogsrv.exe

O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe

O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\mcproxy\mcproxy.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mctskshd.exe

O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcusrmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPS\mps.exe

O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Archivos de programa\McAfee\MSK\MskSrver.exe

[msc hotline sat]

Te faltan todos los parches habidos y por haber :


[quote]
Platform: Windows XP (WinNT 5.01.2600)



MSIE: Internet Explorer v6.00 (6.00.2600.0000)
[/quote]

***



FALTA DE PARCHES SP1



INSTALACION DEL SP1 DEL XP PARA PODER INSTALAR EL SP2: (O SEGUIR CON EL WINDOWSUPDATE)



http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx



(SE DEBE ESCOGER IDIOMA...)



***



FALTA DE PARCHES SP2



Deben actualizarse los parches de MICROSOFT. Le faltan todos los del SP2 y posteriores. Lance un windowsupdate !!!.





_________



Estos ficheros son sospechosos de ser malwares:. Envianos muestra para su analisis:



C:\DOCUME~1\CARMEN~1.QUI\CONFIG~1\Temp\svchots.exe



C:\WINDOWSP\System32\x2f4fr.dll







y elimina estas claves:



O2 - BHO: C:\WINDOWSP\System32\x2f4fr.dll - {8D5849C4-93F3-429D-FF34-260A2068897C} - C:\WINDOWSP\System32\x2f4fr.dll



O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll (file missing)



O8 - Extra context menu item: &Search - http://kq.bar.need2find.com/KQ/menusearch.html?p=KQ



O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)



O20 - Winlogon Notify: f3dsl - MSplg7.dll (file missing)





recordar : https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





__________



Tiene servidores de DNS maliciosos:



O17 - HKLM\System\CCS\Services\Tcpip\..\{5CBB040A-3A85-4525-92F0-BC9AE0EB6EC4}: NameServer = 85.255.115.93,85.255.112.14



O17 - HKLM\System\CCS\Services\Tcpip\..\{85792CFE-ED74-45B9-9C87-8AC79381BBCD}: NameServer = 85.255.115.93,85.255.112.14



O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14



O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14



O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14



Tienes como servidores de DNS unos de UKRAINA y/o POLONIA considerados maliciosos:



85.255.115.93 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

85.255.112.14 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company





Tras informarte con tu ISP de cuales te recomiendan, puedes probar cambiarlos con CONFGDNS.EXE



CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp



Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran otras claves con la indicacion de los de Ukraina y/o Polonia, vea que el primer O17 será el nuevo que ha puesto, elimine las claves O17 restantes



_________





saludos



ms, 20-03-2007

[msc hotline sat]

Al no haber post relativo a las muestras enviadas recientemente, avisamos en este que con el ELISTARA de hoy, 17.09, se ha implementado su control y eliminacion:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 1 de Octubre de 2008