Mil problemas a causa de... virus??

nyra · Mensaje por **nyra** » 15 Nov 2004, 23:32

Hola, tengo XP y una desesperación enorme :cry: . He estado 8 meses sin actualizar mi antivirus (Panda) y hará 2 semanas el ordenador me empezó a ir muy lento y días después Internet cargaba algunas páginas como Google, buscaba palabras, pero a la que quería acceder a una página que contuviera aquella palabra tardaba un rato y me acababa saliendo la pantalla blanca típica de que no se encuentra el servidor. Conectada a Internet quería actualizar el Panda pero me decía que no estaba conectada a Internet. En mi modem parpadeaban constantemente las luces TD y RD y me comentaron que eso sería un virus que me ahogaba la conexión. Desde otro ordenador busqué en el Google y conseguí descubrir que tenía el msnmsgrr.exe y lo eliminé. Me bajé el ZoneAlarm, el SpyBot y el Ad-Aware. Puse en cuarentena todos los archivos que detectaron pero siempre reaparecía el DSO Exploit. Trasteando, no sé qué hice para que ahora Internet funcionara correctamente, aunque ZoneAlarm me alertaba contínuamente de ataques, varios calificados de graves, de IPs que querían acceder a mi ordenador. ¿Sería algun virus mío que intentaba comunicarse con alguien de fuera?Sin embargo, aprovechando ahora que funcionaba Internet, quería actualizar el Panda y se me colgaba.

Debo decir que primero me instalé el ZoneAlarm y a partir de ahí se me reiniciaba siempre el ordenador a los 3 minutos de iniciar sesión. Sin embargo, abrías sesión de otro usuario y no se reiniciaba. Se solucionó el problema tampoco sé cómo y me bajé el DsoStop.exe para que no volviera a aparecer DSO Exploit y desinstalé también el Panda. Desde entonces se vuelve a reiniciar cada 3 minutos pero ahora desde la sesión de cualquier usuario. ¿Es por culpa de DsoStop.exe o de algun virus que tenga?¿Y existe alguna manera de evitar estos reinicios que impiden que puedas hacer nada con el ordenador?

Por cierto, estos últimos meses de vez en cuando me aparecía la ventana típica de cuenta atrás que provoca el blaster. Pero no tengo el msblast.exe que debería tener. Sin embargo he descubierto que hay 5 procesos svchost.exe, de los cuales uno de ellos si le doy a Terminar proceso aparece la ventana de cuenta atrás del blaster. ¿Es el blaster o es otro virus?

Y por último, siempre al iniciar sesión, me aparecen las ventanas “El sistema se ha recuperado de un error grave” y ”Explorer.exe ha detectado un problema y debe cerrarse” y "Informix ha detectado un problema y debe cerrarse". (Tengo Informix como un usuario o sesión más). Ayudarme en algo por favor que estoy desesperada y no me gustaría tener que formatear!!!!

Mensaje por **maura63** » 16 Nov 2004, 00:03

Ejecuta esta utilidad

https://foros.zonavirus.com/viewtopic.php?t=796

Luego conecta con windows update y descarga los parches que necesite tu equipo.

Saludos

maura63

Mensaje por **msc hotline sat** » 16 Nov 2004, 00:48

Los procesis de SVCHOST:EXE no tienen porque ser viricos, ya que originalmente es un lanzador de procesos de windows, normal en todos los XP.

Tras hacer lo indicado por maura63, arranque en modo seguro, deshabilite la restauracion de sistema y lance un antivirus ONLINE; que posiblemente encontrar-á mas de un virus, y de esta forma podrá eliminarlo.

https://www.virustotal.com/es/

Tras ello, actualice con windows update y mantenga siempre actualizado el antivirus residente, que no es valido irlo haciendo cada 6 meses !

saludos

ms, 16-11-2004

nyra · Mensaje por **nyra** » 18 Nov 2004, 04:17

He intentado hacer eso de Windows Update pero se reinicia el ordenador antes de que acabe. Y en modo a prueba de fallos Internet no se puede usar...

caito · Mensaje por **caito** » 18 Nov 2004, 07:56

Baja este programa :

http://www.zonavirus.com/descargas/hijackthis.zip

Guárdalo en una carpeta especial por ej. C>Limpiar>Hijack

Cierra todas las aplicaciones y lánzalo, pon Scan y luego cuando te aparece un log "muy raro" pon Save Log, eso te va a dar un texto (log) que debes Copiar y Pegar como respuesta a este post.

Ojo no ejecutes nada más de este programa ( por ahora ).

Salu2

Caito

Pd: si puedes pasa un av aunque más no sea en Modo Normal, o consigue el FProt que se ejecuta con diskettes.

Salu2

caito

Mensaje por **maura63** » 18 Nov 2004, 18:20

Instala un cortafuegos e intenta volver a conectar con windows update.

ZONE ALARM 5.5.062 EN INGLES (9/11)

http://download.zonelabs.com/bin/updates/znalm/za55062000AEN1023.html

Configuracion

http://www.vsantivirus.com/za.htm

Saludos

maura63

nyra · Mensaje por **nyra** » 18 Nov 2004, 21:44

Caito, aqui tienes lo del hijack:

Logfile of HijackThis v1.98.2

Scan saved at 12:28:31, on 19/11/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\msdtc.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\ISM\2.20\bin\nsrexecd.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\informix\bin\onscpah.exe

C:\informix\bin\oninit.exe

C:\ISM\2.20\bin\portmap.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\mqsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\mqtgsvc.exe

C:\WINDOWS\System32\msnms.exe

C:\BITWARE\NT\bwprnmon.exe

C:\WINDOWS\system32\ntvdm.exe

C:\WINDOWS\System32\VSStatm32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\ati2vid.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\WINDOWS\System32\dwwin.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\ZoneAlarm6.0\zapro.exe

C:\WINDOWS\system32\dumprep.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\System32\dwwin.exe

C:\limpiar\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fib.upc.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\svlju.exe

O4 - HKLM\..\Run: [Mcafee Antivirus Monitoring System32] VSStatm32.exe

O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [MSN Updater] msnms.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [Mcafee Antivirus Monitoring System32] VSStatm32.exe

O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe

O4 - HKLM\..\RunServices: [MSN Updater] msnms.exe

O4 - HKLM\..\RunOnce: [MSN Updater] msnms.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Mcafee Antivirus Monitoring System32] VSStatm32.exe

O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe

O4 - HKCU\..\Run: [MSN Updater] msnms.exe

O4 - HKCU\..\RunOnce: [MSN Updater] msnms.exe

O4 - Global Startup: Asistente para la configuración.lnk = C:\Archivos de programa\Symantec\WinFax\WTNSETUP.EXE

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Archivos de programa\ZoneAlarm6.0\zapro.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Todo Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\eurotopecoches\local.htm (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100635663258

caito · Mensaje por **caito** » 19 Nov 2004, 15:38

Hiciste lo del cortafuegos ?

Hay entradas en el hijack que son sospechosas pero no estoy 100% seguro, tienes una placa de video Ati?

Tienes instalado el antivirus Macfee ?

Las entradas que ya debes borrar con el Hijack son ( desactiva Restaurar sistema ):

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\svlju.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [MSN Updater] msnms.exe

O4 - HKLM\..\RunOnce: [MSN Updater] msnms.exe

O4 - HKCU\..\Run: [MSN Updater] msnms.exe

O4 - HKCU\..\RunOnce: [MSN Updater] msnms.exe

O9 - Extra button: Todo Coches - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\eurotopecoches\local.htm (file missing)

Salu2

Caito

nyra · Mensaje por **nyra** » 19 Nov 2004, 20:25

Hola Caito, placa de vídeo sí tengo y el MacAfee supongo que lo instalaría el mismo messenger.

El cortafuegos te refieres al Zone Alarm? Me instalé el 6.0 hace 2 semanas. Ya he borrado todo eso pero sigue reiniciándose…

Mensaje por **cañera** » 19 Nov 2004, 21:24

C:\WINDOWS\system32\dumprep.exe

eso corresponde a un error que te está dando windows,vete a;

inicio/panel de control/herramientas administrativas/visor de sucesos/sistema y clica sobre el circulo rojo.

eso te dirá donde tienes el error.

cuentanos como te fue.

caito · Mensaje por **caito** » 19 Nov 2004, 23:08

Haz que se vean todos los archivos :

Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.

Por favor manda un nuevo log del Hijack

Salu2

Caito

nyra · Mensaje por **nyra** » 20 Nov 2004, 20:16

Aquí está el nuevo hijack y después los errores, que no son pocos, del visor de sucesos de Herramientas administrativas:

Logfile of HijackThis v1.98.2

Scan saved at 10:52:27, on 21/11/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\msdtc.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\ISM\2.20\bin\nsrexecd.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\ISM\2.20\bin\portmap.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\mqsvc.exe

C:\informix\bin\onscpah.exe

C:\informix\bin\oninit.exe

C:\WINDOWS\System32\mqtgsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\msnms.exe

C:\BITWARE\NT\bwprnmon.exe

C:\WINDOWS\System32\VSStatm32.exe

C:\WINDOWS\system32\ntvdm.exe

C:\WINDOWS\System32\ati2vid.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\ZoneAlarm6.0\zapro.exe

C:\WINDOWS\system32\dumprep.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\System32\dwwin.exe

C:\limpiar\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fib.upc.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Mcafee Antivirus Monitoring System32] VSStatm32.exe

O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [MSN Updater] msnms.exe

O4 - HKLM\..\RunServices: [Mcafee Antivirus Monitoring System32] VSStatm32.exe

O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe

O4 - HKLM\..\RunServices: [MSN Updater] msnms.exe

O4 - HKLM\..\RunOnce: [MSN Updater] msnms.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Mcafee Antivirus Monitoring System32] VSStatm32.exe

O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe

O4 - HKCU\..\Run: [MSN Updater] msnms.exe

O4 - HKCU\..\RunOnce: [MSN Updater] msnms.exe

O4 - Global Startup: Asistente para la configuración.lnk = C:\Archivos de programa\Symantec\WinFax\WTNSETUP.EXE

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Archivos de programa\ZoneAlarm6.0\zapro.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100635663258

En Herramientas Administrativas-Aplicación había errores de este tipo:

VSS--> Error del Servicio de instantáneas de volumen: error inesperado al llamar a la rutina CoCreateInstance. HR = 0x80040206.

EventSystem-->El sistema de sucesos COM+ detectó un código de retorno incorrecto durante el procesamiento interno. HRESULT fue 8007043C en la línea 44 de d:\nt\com\com1x\src\events\tier1\eventsystemobj.cpp. Póngase en contacto con el departamento de Soporte técnico de Microsoft para informar de este error.

True Vector Engine (muchísimos errores como este) -->No se encuentra la descripción del Id. de suceso ( 1 ) en el origen ( True Vector Engine ). Es posible que el equipo local no tenga la información de Registro o archivos DLL de mensajes necesarios para mostrar mensajes desde un equipo remoto. Es posible que pueda usar el indicador /AUXSOURCE= para recuperar esta descripción; consulte Ayuda y soporte técnico para obtener más detalles. La siguiente información es parte del suceso: .

Application Error-->Aplicación con errores: explorer.exe, versión: 6.0.2600.0, módulo con error: unknown, versión 0.0.0.0, dirección de error 0x71a341da.

ESENT--> wuauclt (632) Al intentar eliminar el archivo "C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edbtmp.log" se produjo el error de sistema 32 (0x00000020): "El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso. ". La operación de eliminación de archivo se cerrará con el error -1032 (0xfffffbf8).

En Herramientas Administrativas-Sistema había:

DCCOM-->

DCOM ha obtenido un error "El servicio no puede iniciarse en modo a prueba de errores " al intentar iniciar el servicio MSIServer con argumentos "" para ejecutar el servidor:

{000C101C-0000-0000-C000-000000000046}

DCOM ha obtenido un error "El servicio no puede iniciarse en modo a prueba de errores " al intentar iniciar el servicio StiSvc con argumentos "" para ejecutar el servidor:

{A1F4E726-8CF1-11D1-BF92-0060081ED811}

DCOM ha obtenido un error "El servicio no puede iniciarse en modo a prueba de errores " al intentar iniciar el servicio netman con argumentos "" para ejecutar el servidor:

{BA126AE5-2166-11D1-B1D0-00805FC1270E}

DCOM ha obtenido un error "El servicio no puede iniciarse en modo a prueba de errores " al intentar iniciar el servicio EventSystem con argumentos "" para ejecutar el servidor:

{1BE1F766-5536-11D1-B726-00C04FB926AF}

Service Control Manager-->

El controlador de inicialización siguiente no se cargó correctamente:

Fips

IPSec

MRxSmb

NetBIOS

NetBT

RasAcd

Rdbss

Tcpip

El servicio Servicios IPSEC depende del servicio Controlador IPSEC, el cual no pudo iniciarse debido al siguiente error:

Uno de los dispositivos vinculados al sistema no funciona.

El servicio Message Queuing Triggers depende del servicio Message Queuing, el cual no pudo iniciarse debido al siguiente error:

No se puede iniciar el servicio o grupo de dependencia.

El servicio Message Queuing depende del servicio Coordinador de transacciones distribuidas de Microsoft, el cual no pudo iniciarse debido al siguiente error:

No se puede iniciar el servicio o grupo de dependencia.

El servicio Mensajero depende del servicio Interfaz de NetBIOS, el cual no pudo iniciarse debido al siguiente error:

Uno de los dispositivos vinculados al sistema no funciona.

El servicio Cliente DNS depende del servicio Controlador de protocolo TCP/IP, el cual no pudo iniciarse debido al siguiente error:

Uno de los dispositivos vinculados al sistema no funciona.

El servicio Cliente DHCP depende del servicio NetBios a través de Tcpip, el cual no pudo iniciarse debido al siguiente error:

Uno de los dispositivos vinculados al sistema no funciona.

El servicio Compatibilidad de cambio rápido de usuario depende del servicio Servicios de Terminal Server, el cual no pudo iniciarse debido al siguiente error:

El servicio no ha respondido a la petición o inicio del control en un tiempo adecuado.

El servicio Servicios de Terminal Server no pudo iniciarse debido al siguiente error:

El servicio no ha respondido a la petición o inicio del control en un tiempo adecuado.

El servicio Administrador de conexión automática de acceso remoto no pudo iniciarse debido al siguiente error:

El servicio no ha respondido a la petición o inicio del control en un tiempo adecuado.

Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio TermService.

Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio AudioSrv.

Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio ShellHWDetection.

Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio BITS.

Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio SharedAccess.

Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio dmserver.

Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio RasAuto.

Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio FastUserSwitchingCompatibility

Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio WZCSVC.

Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio wuauserv.

Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio Schedule.

Intervalo de espera (30000 ms.) para la respuesta de transacción del servicio W32Time.

El servicio Instrumental de administración de Windows terminó inesperadamente. Lo ha hecho 1 veces. Se realizará la siguiente acción correctora en 60000 milisegundos: Reiniciar el servicio.

El servicio Ayuda y soporte técnico terminó inesperadamente. Lo ha hecho 1 veces. Se realizará la siguiente acción correctora en 100 milisegundos: Reiniciar el servicio.

El servicio Administrador de discos lógicos se terminó de manera inesperada. Esto ha sucedido 1 veces.

El servicio Servicios de cifrado se terminó de manera inesperada. Esto ha sucedido 1 veces.

El servicio Llamada a procedimiento remoto(RPC) terminó inesperadamente. Lo ha hecho 1 veces. Se realizará la siguiente acción correctora en 60000 milisegundos: Reinicie el equipo.

System Error-->

Código de error 00000076, parámetro 1 00000000, parámetro 2 81778020, parámetro 3 00000001, parámetro 4 00000000.

Código de error 00000076, parámetro 1 00000000, parámetro 2 81770b18, parámetro 3 00000001, parámetro 4 00000000.

Etcétera…

Mensaje por **cañera** » 20 Nov 2004, 21:52

tienes al amiguito[color=red] rbot-jk[/color]

[color=blue][MSN Updater] msnms.exe [/color]

te paso este link con el que lo puedes solucionar;

http://www.vsantivirus.com/spybot-dnc.htm

cuentanos como te fue.

nyra · Mensaje por **nyra** » 25 Nov 2004, 19:03

Hola de nuevo, en el link que dices hay muchos parches.No se si tengo que bajarmelos todos o alguno específico. El msnms.exe fui al regedit y lo borre de todos sitios donde estuviera y ya no aparece en el admin. de tareas. Sin embargo, sigue reiniciandose y sin aviso previo. Lo de retrasar el reloj 2 horas no sirve y el shutdown -a tampoco xq no me aparece la ventanita de cuenta atras. Pongo mi nuevo log del hijack a ver si alguien encuentra algun otro virus...

nyra · Mensaje por **nyra** » 25 Nov 2004, 19:05

Logfile of HijackThis v1.98.2

Scan saved at 5:40:05, on 26/11/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\msdtc.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\ISM\2.20\bin\nsrexecd.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\informix\bin\onscpah.exe

C:\ISM\2.20\bin\portmap.exe

C:\informix\bin\oninit.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\mqsvc.exe

C:\WINDOWS\System32\mqtgsvc.exe

C:\WINDOWS\Explorer.EXE

C:\BITWARE\NT\bwprnmon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\ntvdm.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\VSStatm32.exe

C:\WINDOWS\System32\ati2vid.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\ZoneAlarm6.0\zapro.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\limpiar\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fib.upc.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Archivos de programa\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

O4 - HKLM\..\Run: [bwprnmon.exe] C:\BITWARE\NT\bwprnmon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Mcafee Antivirus Monitoring System32] VSStatm32.exe

O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\RunServices: [Mcafee Antivirus Monitoring System32] VSStatm32.exe

O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Mcafee Antivirus Monitoring System32] VSStatm32.exe

O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe

O4 - Global Startup: Asistente para la configuración.lnk = C:\Archivos de programa\Symantec\WinFax\WTNSETUP.EXE

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Archivos de programa\ZoneAlarm6.0\zapro.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100635663258

Mensaje por **maura63** » 25 Nov 2004, 19:26

Instala el cortafuegos para que detenga los intentos de intrusion, luego ejecuta las herramientas que hay en este link

http://www.zonavirus.com/descargas/elistara.asp

Y despues conecta via windows update y al dar a buscar actualizaciones te saldran las que tu equipo necesite ni mas ni menos.

Saludos
maura63

caito · Mensaje por **caito** » 26 Nov 2004, 01:10

Tengo muchas sospechas de estos dos procesos :
C:\WINDOWS\System32\VSStatm32.exe
C:\WINDOWS\System32\ati2vid.exe

Por qué no vas a esta página y los marcas para que te los analizen :
http://www.windowsecurity.com/pages/trojanscan.html

Y nos cuentas qué pasó.
Salu2
Caito

nyra · Mensaje por **nyra** » 26 Nov 2004, 22:49

Hola, como ya tenía el Zone Alarm y desde que lo instalé fue quizá cuando empezaron los problemas he decidido desinstalarlo. Y cual fue mi sorpresa que ya no se reinicia el ordenador!! Sin embargo, ahora al conectarme a internet me vuelve a suceder lo del principio. Las luces RD y TD de mi modem se encienden y apagan continuamente y no deja cargar las páginas. He mirado, y en el regedit vuelvo a tener el msnmsgrr.exe (tiene que ver con haber quitado el Zone Alarm?)Me han ido aparecido ventanas del SpyBot que ponen "Cathegory:System Startup global entry; Change:Value Added; Entry:winmon.exe, dijslivt.exe, bling.exe, sres32.exe" pero no sé si hay que darle a "Allow change" o "Deny change". Busqué por el google y parecía que winmon.exe lo añadía un gusano, así que lo borraba del editor de registros y del admin. de tareas y con la opcion desactivada de restaurar sistema, pero volvías a abrir regedit y continuaba allí. Bling.exe tambien es otro virus. Ahora he descubierto que cuando las luces RD y TD parpadean tan rápido en el admin. de tareas aparece ftp.exe. Finalizo el proceso y las luces "se calman", pero al rato vuelven a parpadear y ftp.exe reaparece. Por dios, se trata de un solo virus que me genera todo esto o es que tengo un nido de virus???

caito · Mensaje por **caito** » 26 Nov 2004, 23:10

Has seguido los consejos que te dimos?

Actualizaste el SO ?

Averiguaste de los dos procesos sospechosos ?

Sigues teniendo virus( por. ej:msnmsgrr.exe)

Luego de seguir las indicaciones manda un nuevo log del hijack.

Salu2

Caito

Mil problemas a causa de... virus??

Mil problemas a causa de... virus??

1 problema en cuanto a vuestra solucion