Archivo infectado por w32/Randex.Ayuda please!

[LuNNa]

Hola a tod@s!



Tengo el Norton Internet Security 2005 y resulta q anoche me detectó un archivo infectado por el virus w32.Randex. El archivo en cuestión es: ScardClnt.exe que esta en la carpeta system32. El antivirus no podia desinfectarlo ni reparar! Entonces inicie en modo seguro el windows 2000 para eliminarlo manualmnte xo resulta que entonces no estaba en la carpeta. :shock: Asi que volviendo a modo normal, tb intente eliminarlo xo decia q el archivo estaba en uso y q ademas era compartido. Finalmente fui a Panel de Control---> Herramientas administrativas ---> Servicios y busque la aplicacion (creo q ese archivo se corresponde cn Smart Card Client) y puse detener. Volvi a pasar el antivirus, vuelve a detectar q el virus estaba en ese archivo, q no se podia reparar, pone en cuarentena y seguidamente dijo de eliminar algo, yo acepte xo al cerrar salio mensaje que decia q el equipo seguia infectado.





El informe creado por Norton al respecto es el siguiente:



EL archivo ScardClnt.exe esta infectado por el virus w32.Randex.

-Esta amenaza hacia que el ID de proceso 1060 se ejecute en la memoria. Norton Antivirus finalizó el proceso.

- La clave de registro:

"HKEY_LOCAL_MACHINES\System\CurretnControlSet\Services\ScardClnt\ImagePath".



QUE DEBO HACER??? la aplicacion sigue en al carpeta system32 xo hora el proceso esta detenido y si paso el norton por el sistema ya no ve q hay virus. ESo es que ya no ta??



Muchas gracias por adelantado!! :)

[maura63]

Comprueba que se muestren archivos y carpetas ocultos del sistema y vuelve a psar el Norton en modo seguro.



Y prueba con la siguiente utilidad



ELITRIIP



http://www.zonavirus.com/descargas/elitriip.asp



Saludos

maura63

[maura63]

Privado recibido



**********************************************

De: LuNNa

Para: maura63

Publicado: Mie Abr 20, 2005 11:59 am

Asunto: sobre el w32.randex...

hola de nuevo!



muchas gracias x la rspuesta a mi pregunta xo sigo sin aclararme! he iniciado en modo seguro, y si q se ve el archivo supuestamente infectado antes mencionado: scardclnt.exe xo tampoco puedo eliminarlo y adems por mucho q intento abrir el norton resulta q no iba. Ya he pasado el Elitriip y no me detecta nada. ¿he de suponer q el virus ha desaparecido por arte de magia? ¿por que continuo sin poder hacer nada con el archivo ese?



Una cosita mas, resulta q desde q me puse el windows 2000 y ademas amplie la memoria a 256 ( no se si sera por eso, o es coincidencia) de vez en cuando, al estar en internet el ordenador se me reinicia, siempre en el momento menos esperado y se me va to a la... Sobretodo me pasa cuando estoy descargando cn el emule, ya no lo dejo por las noches xq no avanzo nada. se reinicia y encima me desaparecen cosas de las q me toy bajando!! un disastreeee.

Es un virus?



Te paso el informe del HijackThis a ver si me encuentras algo vale?



Logfile of HijackThis v1.99.0

Scan saved at 11:02:01, on 20/04/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINNT\system32\LEXBCES.EXE

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\LEXPPS.EXE

C:\WINNT\system32\CTSvcCDA.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\WINNT\system32\atiptaxx.exe

C:\ARCHIV~1\Adaptec\DirectCD\directcd.exe

C:\Archivos de programa\Creative\News\NewsUpd.EXE

C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

C:\Archivos de programa\Creative\Audio2K\PROGRAM\CTMIX32.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\ARCHIV~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe

C:\WINNT\system32\internat.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Creative\ShareDLL\MediaDet.Exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NSMdtr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\NMain.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Administrador\Escritorio\Programas + parches antivirus\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Adaptec DirectCD] C:\ARCHIV~1\Adaptec\DirectCD\directcd.exe

O4 - HKLM\..\Run: [NewsUpd] C:\Archivos de programa\Creative\News\NewsUpd.EXE /q

O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [CreativeMixer] C:\Archivos de programa\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [CreateCD] C:\ARCHIV~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Picture Package Menu.lnk = C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{126C59BC-8A14-4946-BEF9-73CA8ABD5FA8}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Servicio de alerta - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: Examinador de equipos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe

O23 - Service: Cliente DHCP - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DNS - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe

O23 - Service: ISSvc - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: Servidor - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Estación de trabajo - Unknown - C:\WINNT\system32\services.exe

O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE

O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Mensajero - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\system32\mnmsrvc.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Smart Card Client - Unknown - C:\WINNT\system32\SCardClnt.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe

O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Still Image Service - Unknown - C:\WINNT\system32\stisvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe



Gracias!!



***********************************************



Randex es un gusano que se extiende a través de unidades compartidas de red y que incluye un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.



El gusano conecta con un servidor IRC en un canal específico donde aguardará los comandos del atacante, que podrá rastrear información de red, descargar programas y robar contraseñas y otra información confidencial.





Si dices que tu norton no va, para mas tranquilidad y viendo que usas w2000 y tienes un kit adsl trata de arranca en modo seguro con funciones de red y lanza este antivirus online y limpia por si hubiese algo.



· Computer Associates

https://www.virustotal.com/es/



Constestanos como respuesta a este tema en el foro, para beneficio de todos.



Saludos

maura63

[LuNNa]

[quote]


bueno pues he entrao otra vez en modo seguro cn funciones de red pero pinchaba para conectar y no me detectaba el kit adsl, asi q ahora, en modo normal he pasao el antivirus ese on line (https://www.eset.es/analisis-online/) y tampoco me detecta nada del Randex asi que supondremos que ya no ta!! :P



Sobre lo del reinicio del ordenaor alguien me podria decir algo? se tratara de un virus o esq tngo algo del hardware estropeao o q?? :?:



Gracias [/quote]

[maura63]

Puedes comprobar la ventilacion.



Abres el Pc y comprueba que el ventilador gire en condiciones, que este limpio.



Desarga este programa que te dara mucha informacion de tu PC, temperatura etc...



http://www.zonavirus.com/datos/descargas/108/Everest_Home_Edition_1-51.asp





Saludos

maura63

[msc hotline sat]

Aparte de la temperatura de la CPU, que es muy importante controlar, los reinicios pueden venir motivados por señal de llamada entrante, si la linea es digital y se utiliza modem.



Tambien una memorias degradadas, cuando se utiliza el byte derefresco malo o velocidad lenta, puede conllevar errores que provoquen el reinicio, lo cual conviene tambien tener en cuenta.



Tambien un hacker, remotamente, aprovechando algun backdoor, puede reiniciar el ordenador sin mayor problema.



Y por último, un microcorte de energía eléctrica, si no tiene SAI, tambien puede reiniciar el ordenador, y durante toda la noche, puede haber mas de uno !!!





Son mas cosas que pueden provocar reinicios, a controlar.



saludos



ms, 20-04-2005