Problemas con archivo llamado dwwin.exe

[sinue]

Para empezar dire que tenia el [b]dso exploit[/b] alojado en la PC, pero gracias a spybot s&d y al ad-aware lo solucione, no sin antes que entrara algo que instalo un programa llamado dwwin.exe en c:\windows\system32 el que de alguna forma provoca errores el el messenger y aparece un mensaje de que debe cerrarse, al suceder esto el rendimiento de la computadora baja considerablemente a digamos 50 % de lo normal, ademas de este problema tengo identificados algunos archivos sospechosos como [b]wins.exe, wowexec.exe[/b] etc. El log del hijackthis es el siguiente, agradeceria una respuesta lo mas pronto posible, porque ya estoy harto de este problema



Logfile of HijackThis v1.98.2

Scan saved at 09:14:12 p.m., on 22/03/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\Mixer.exe

C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

C:\WINDOWS\runservice.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\HJT\HijackThis.exe

C:\Archivos de programa\Messenger\msmsgs.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitersg32.exe

O4 - HKLM\..\Run: [MS Unix Binary] Wins.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Archivos de programa\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Archivos de programa\Corel\Graphics10\Register\NavLoad.ini"

O4 - HKLM\..\RunServices: [MS Unix Binary] Wins.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MS Unix Binary] Wins.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open Link Target in Firefox - file://C:\Documents and Settings\Sinue Iran\Datos de programa\Mozilla\Firefox\Profiles\pb38l0m5.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html

O8 - Extra context menu item: View This Page in Firefox - file://C:\Documents and Settings\Sinue Iran\Datos de programa\Mozilla\Firefox\Profiles\pb38l0m5.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -

[maura63]

Elimina estas



O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -



Saludos

maura63

[maura63]

Alguna informacion



Process File: wowexec or wowexec.exe

Process Name: Microsoft Windows On Windows Execution Process



Description:

wowexec.exe is a part the operating system, and supports the use of 16-bit procseses.This program is important for the stable and secure running of your computer and should not be terminated.



Saludos

maura63

[msc hotline sat]

EL DWWIN.EXE (Dr Watson) es el medio de comuniacion mediante el que Windows da a conocer los problemas acaecidos.



No es virus ni spyware, sino utilidad de microsoft que debe respetarse como tal:



http://forum.theispguide.com/isp-ftopic3632.html



Está en el directorio de sistema y no debe eliminarlo.



Aparte, puede seguir el tutorial de virus y spywares y eliminar los bichos que detecte:



https://foros.zonavirus.com/viewtopic.php?t=5370



saludos



ms, 23-03-2005

[sinue]

Disculpen si tarde tanto en contestar (asuntos personales), y lamento también no haber explicado de manera detallada mi situación, en fin: borre las entradas del scan del hijackthis en modo normal como se indico, y después pase al [b]norton antiviru[/b]s en modo seguro y no reporto spyware, entonces pase tambien en modo seguro [b]spybot s&d[/b] y el [b]ad aware 6[/b] asi como todas las utilerías para eliminar troyanos indicadas en el tutorial, sin reportar algo por alguno de los análisis. Al reiniciar en modo normal el problema seguia igual; al comenzar alguna tarea que requeria buena cantidad de memoria ([b]3ds max, firefox, photoshop[/b]) surgía el clásico mensaje de error, que en mi caso venia supuestamaente del [b]Messenger[/b] (que no utilizo) durante el tiempo que el mensaje que duraba el mensaje, y al invocar al [b]administrador de tareas[/b] de XP con ctrl.-alt-supr era el unico tiempo en el que aparecia el ya mencionado [b]dwwin.exe[/b], al pulsar no enviar informes de errores el proceso [b]dwwin.exe[/b] desaparecia (yo no soy quien lo termina), por lo tanto cerraba el [b]administrador de tareas[/b], el rendimiento de la maquina bajaba considerablemente, y al tratar de invocar de nuevo el [b]administrador de tareas[/b] su icono aparecia en la charola del sistema, pero el programa no era invocado, acto seguido el sistema se pasmaba, y si tenia abierto [b]firefox[/b], este seguia funcionando casi con normalidad excepto en todo apartado relacionado con [b]explorer[/b] (cuadros de dialogo, barra de tereas etc) por ultimo es necesario decir que ahora encuentro que los settings de diversos programas como winamp, photoshop y norton no aparecen igual cuando cierro el programa, que cuando lo inicio. Agradeceria muchisimo me ayudaran, porque esta situación ya me tiene harto, de antemano gracias.

[caito]

por favor haz que se vean todos los archivos:

Para configurar Windows XP para que muestre las extensiones de archivo:



Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.

En modo Normal toma un nuevo log con el Hijack y veremos qué hay.

Salu2

caito

[sinue]

He eliminado las entradas del hijackthis que se me indicaron 3 veces, y tambien me he dado cuenta de que el norton antivirus repara estas entradas mediante la recuperacion del registro que se inicia automaticamente en cada sesion de XP. Por otro lado siempre he tenido activada la opcion de mostrar todos los archivos, asi como he desactivado la restauracion del sistema.

En respuesta a la anterior respuesta, aqui esta mi nuevo log del hijackthis:



Logfile of HijackThis v1.98.2

Scan saved at 04:43:12 p.m., on 25/03/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\Mixer.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

C:\WINDOWS\runservice.exe

C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

C:\WINDOWS\System32\Wins.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\Archivos de programa\SpywareGuard\sgmain.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\Archivos de programa\SpywareGuard\sgbhp.exe

C:\HJT\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [MS Unix Binary] Wins.exe

O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Archivos de programa\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Archivos de programa\Corel\Graphics10\Register\NavLoad.ini"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitewva32.exe

O4 - HKLM\..\RunServices: [MS Unix Binary] Wins.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [MS Unix Binary] Wins.exe

O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open Link Target in Firefox - file://C:\Documents and Settings\Sinue Iran\Datos de programa\Mozilla\Firefox\Profiles\pb38l0m5.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html

O8 - Extra context menu item: View This Page in Firefox - file://C:\Documents and Settings\Sinue Iran\Datos de programa\Mozilla\Firefox\Profiles\pb38l0m5.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -

[caito]

La versión del Hijack es antigua, actualiza:

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Tienes archivos sospechosos, te conviene seguir los pasos de este tutorial :

https://foros.zonavirus.com/viewtopic.php?t=5370

Salu2

Caito

[sinue]

Una vez mas perdon por la tardanza en las respuestas. descubri que el proceso [b]dwwin.exe[/b] era lanzado y terminado por un trojano llamado [b]ads1[/b] (miembro de elite bar) que se manifestaba en forma de pop ups al abrir [b]firefox[/b], no obstante lo elimine con una utileria especifica ([b]ETRemoverv120[/b] no me acuerdo del sitio, lo obtuve atravez de google), pero mis lios no acaban aun, el problema ahora consiste en que tengo corriendo en XP 4 procesos [b]svchost[/b], uno de los cuales (con nombre de usuario [b]system[/b]) a los 5 o 6 minutos de haberme conectado mediante mi linea telefonica comienza a utilizar hasta un 90 % del uso del CPU, si abro alguna ventana del explorador esta se pasma en su totalidad, he intentado norton antivirus, antivirus en linea, spybot, ad-aware y utilerias de limpieza especificas para eliminar dialers y trojanos, nada funciona. la unica informacion que pude recabar es de que hay involucrado un proceso llamado [b]lucoms-1.exe[/b], y de que al deshabilitar [b]style XP[/b] (lo uso para aplicar estilos visuales a windows) el sistema trabaja de manera casi normal aunque a veces me desconecta de manera inesperada. Espero me ayuden, qunque sea en otro foro, mientras tanto agradezco el link del antivirus on-line, ya que me ayudo a eliminar muchas infecciones. Hasta la proxima!!

[msc hotline sat]

El lucoms-1.exe es parte del antivirus de Symantec, comcretamente del actualizador, Live Updater COMmander, que posiblemente sea interceptado por algun cortafuegos.



En cualquier caso, desisntale dicho antivirus y vea si se normaliza. Tras ello, vea cual es el motivo de la interceptacion indicada, y vuelva a instalarlo, o en su defecto otro que no le dé problemas



No creo que se trate de un virus sino de una colision entre intento de actualizacion y una proteccion de algun tipo que lo impide



mantenganos informados, gracias



saludos



ms, 29-03-2005