problemilla XD

[molisha19]

Estaba yo Navegando trankilamente por la red cuando de repente o dios o no :P jaj se empeso a a cerrar programas supongo que es un trojano y luego revise en temporales con el norton 2004 y me da unos archivos qeu no se pueen eliminar ni nada seria este : el :arrow: salm.exe y :arrow: :( salmhook.dll asi el trojano no se dodne diablos se metio y por ierto no puedo eliminar el otro virus creo es un gusano se llama W32.Hllw-Gaobot bueno total que es el gaobot y ya intente todo ja primero le pase las utilidades que me recomienda a quii segun se elimina pero no se queme un disco y fua a la compu de una amiga con el CD y me lo indico que lo tenia :idea: pero ya lo avia eliminado no?

[maura63]

Pasa tu antivirus en modo seguro y si usas XP o ME desactiva antes restaurar sistema.



Saludos

maura63

[molisha19]

sie acabo de hacer eso y sigue sin poder eliminar esos archivos ademas esta ese trojano :s ya no me lo detecto T_T y esos archivos infectados que me dio ? que se ignifican bajare el HijackThis para poner el log

[maura63]

Te faltan actualizaciones, conecta via windows update y actualiza tu sistema opertivo.



Informacion de Symantec:



W32.HLLW.Gaobot.gen is a detection for a large family of worms, which propagate themselves using multiple vulnerabilities including:

Weak passwords on network shares.

The DCOM RPC vulnerability (described in Microsoft Security Bulletin MS03-026) using TCP port 135.

The WebDav vulnerability (described in Microsoft Security Bulletin MS03-007) using TCP port 80.

The Workstation service buffer overrun vulnerability (described in Microsoft Security Bulletin MS03-049) using TCP port 445. Windows XP users are protected against this vulnerability if Microsoft Security Bulletin MS03-043 has been applied. Windows 2000 users must apply MS03-049.

The Microsoft Messenger Service Buffer Overrun Vulnerability (described in Microsoft Security Bulletin MS03-043).

The Locator service vulnerability (described in Microsoft Security Bulletin MS03-001) using TCP port 445. The worm specifically targets Windows 2000 machines using this exploit.

The UPnP vulnerability (described in Microsoft Security Bulletin MS01-059).

The vulnerabilities in the Microsoft SQL Server 2000 or MSDE 2000 audit (described in Microsoft Security Bulletin MS02-061), using UDP port 1434.

The LSASS vulnerability (described in Microsoft Security Bulletin MS04-011) using TCP ports 139 and 445.

The backdoor ports that the Beagle and Mydoom families of worms open.



Saludos

maura63

[molisha19]

bueno despues de todo elimine los que estabna en temp terminando los procesos y parese que ya pero va el log

Logfile of HijackThis v1.98.2

Scan saved at 10:17:58 a.m., on 30/11/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Windows AdControl\WinAdCtl.exe

C:\WINDOWS\system32\pqxoxq.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Program Files\Windows AdControl\WinAdAlt.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Archivos de programa\Norton SystemWorks\Password Manager\AcctMgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

C:\ARCHIV~1\NORTON~1\NORTON~4\GHOSTS~2.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\TELMEX\Prodigy Infinitum\app\TangoService.exe

C:\ARCHIV~1\TELMEX\PRODIG~1\app\TangoManager.exe

C:\WINDOWS\System32\svchost.exe

C:\DOCUME~1\jcv\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

C:\Archivos de programa\Messenger\msmsgs.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\ARCHIV~1\SEARCH~1\SEARCH~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [TangoManager] C:\ARCHIV~1\TELMEX\PRODIG~1\app\TANGOM~1.EXE

O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe

O4 - HKLM\..\Run: [iyxyzzbudzmc] C:\WINDOWS\system32\pqxoxq.exe

O4 - HKLM\..\Run: [salm] c:\temp\salm.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [AcctMgr] C:\Archivos de programa\Norton SystemWorks\Password Manager\AcctMgr.exe /startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Windows Runtime Proccess] 32RUNdll.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\RunServices: [Windows Runtime Proccess] 32RUNdll.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=dd07abb74a38417675be5c300eb93defe0a0b9b706d24c9f34e61b29b999af51cdc2b99d118b4f2289e28ffe30717ffe07d7c66063dfe2da747bad8da4f73c87:6b55d2279195f1d477330495fb00c2db

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095467205749

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab27513.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D9FFE642-F8D4-46A0-9AF7-AEB928E735D6}: NameServer = 200.23.242.193,200.23.242.201

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Archivos de programa\HP\hpcoretech\comp\hpuiprot.dll



sobre las actualizaciones ya tengo el ser pack 2 y trate de bajar mas actualizaciones y dice que el sistema esta actualizado

:s por ceirto me dice que me falta un parche mo 39 algo ja ya lo baje pero no me lo deja por que dice que ya lo tengo :s a si me salio cuando reinicie otra cosa algo de Bodah no se que sea pero me sono algo raro decia que si queria instalar no se que cosa y le puse cono y lo desinstale :)

[maura63]

Por ejemplo, esta entrada corresponde al 180searchasistan



[color=red]O4 - HKLM\..\Run: [salm] c:\temp\salm.exe[/color]



Pasa estos programas, descarga y actualizas



Eliminacion de adwares y spywares



Spybot S&D



Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://kujoe.com/freeware/spybot.php

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



Ad_Aware SE



Ad-Aware SE Personal Build 1.05 + Parche en español

http://www.infospyware.com/





Eliminación de paginas de inicio en el internet explorer y no restaurables,dialers,secuestros del navegador, etc:





CWSHREDDER 2.0



http://www.softpedia.com/public/cat/10/17/10-17-150.shtml

En modo seguro y desactiva restaurar sistema, luego vuelve a pegar un log nuevo de hijackthis.



Saludos

maura63

[maura63]

***********************************************



molisha19 Publicado: Mar Nov 30, 2004 2:02 pm Asunto: uju



--------------------------------------------------------------------------------



wiiii muchas gracias como se os agradesco parese que ya no tenog problemas todos esos programas ya los avia corrido :s bueno total ya no tengo problemas si aparese otro os dire son unos genios gracias maura eres el mejor XD jeje muchas gracias he recomendado esta pajina ojala cada ves sea mas grande

sobre lo del parche no me dejo correrlo nuevamente pero creo que ya esta bien todo por que ya no me salen nime sierran ventanas ni el norton nada muchas gracias Domo arigato

Muchas gracias Domo Arigatou [/img]



**********************************************





Nos quedamos con las ganas de saber si se eliminaron estas entradas



C:\WINDOWS\system32\pqxoxq.exe



O4 - HKLM\..\Run: [salm] c:\temp\salm.exe



O4 - HKCU\..\Run: [Windows Runtime Proccess] 32RUNdll.exe





Saludos

maura63