sigo con probemas

Naso7 · Mensaje por **Naso7** » 20 Abr 2005, 16:34

Os mando el hijackthis poruqe el icono rojo con una x sigue abajo a la derecha al lado de la hora. NO hace mas que redireccionarme a paginas porno y sacrame iconos al escritorio. A ver si podeis echarme una mano. Gracias a todos

Logfile of HijackThis v1.99.1

Scan saved at 16:33:03, on 20/04/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\MSAOL32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\crssrs.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\MSAOL32.exe

C:\WINDOWS\System32\crssrs.exe

C:\wp.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

c:\mssyst32.exe

C:\Documents and Settings\Vicente\Escritorio\Programas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0179/

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

R3 - URLSearchHook: (no name) - _{C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKLM\..\Run: [SP2 Firewall/Internet Updater] crssrs.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [HI9bGWcwo] C:\WINDOWS\juutd.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE

O4 - HKLM\..\Run: [IST Service] C:\Archivos de programa\ISTsvc\istsvc.exe

O4 - HKLM\..\RunServices: [SP2 Firewall/Internet Updater] crssrs.exe

O4 - HKLM\..\RunServices: [MotherBoard Sounds] sounds.exe

O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKCU\..\Run: [SP2 Firewall/Internet Updater] crssrs.exe

O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MotherBoard Sounds] sounds.exe

O4 - HKCU\..\Run: [180ClientStubInstall] "C:\WINDOWS\stubinstaller5356.exe"

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O15 - Trusted IP range: 67.19.185.246

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c32.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-es/es/games3.cab?fgiocv=1

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Mensaje por **maura63** » 20 Abr 2005, 16:41

Tienes por ejemplo...

Backdoor.Win32.Rbot.nt

Saludos

maura63

Naso7 · Mensaje por **Naso7** » 21 Abr 2005, 03:00

Vale, tengo mogollon de putadas pero, como las quito???? Porque le paso el adaware y m limpia bastantes cosas pero luego le paso el hijackthis y siguen ahi, asi que las "fixeo" y lo vuelvo a pasar y...siguen ahi. Pa mi que no se manejar bien el hijackthis, me podeis echar una mano??? Gracias

caito · Mensaje por **caito** » 21 Abr 2005, 04:55

Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack

Por favor toma nota de estas indicaciones :

Baja este programa:

disk cleaner

http://www.xs4all.nl/~mp2004/

Y el AdAware Se :

ftp://ftp.download.com/pub/win95/utilities/aawsepersonal.exe

Y este :

http://ralphcaddell.com/Uploads/deldomains.zip

Desconéctate físicamente de Internet (cables,modem)

Desactiva Restaurar Sistema

Reinicia en Modo seguro

Haz que se vean todos los archivos.

Termina estos procesos(ctrl+alt+del):

wp.exe

mssyst32.exe

MSAOL32.exe

crssrs.exe

juutd.exe

UNMT.EXE

istsvc.exe

sounds.exe

stubinstaller5356.exe

Cierra todas las aplicaciones

Lanza el Hijack

Scan y luego Fix a estas:

C:\wp.exe

c:\mssyst32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0179/

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

R3 - URLSearchHook: (no name) - _{C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - (no file)

O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKLM\..\Run: [SP2 Firewall/Internet Updater] crssrs.exe

O4 - HKLM\..\Run: [HI9bGWcwo] C:\WINDOWS\juutd.exe

O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE

O4 - HKLM\..\Run: [IST Service] C:\Archivos de programa\ISTsvc\istsvc.exe

O4 - HKLM\..\RunServices: [SP2 Firewall/Internet Updater] crssrs.exe

O4 - HKLM\..\RunServices: [MotherBoard Sounds] sounds.exe

O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe

O4 - HKCU\..\Run: [SP2 Firewall/Internet Updater] crssrs.exe

O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe

O4 - HKCU\..\Run: [MotherBoard Sounds] sounds.exe

O4 - HKCU\..\Run: [180ClientStubInstall] "C:\WINDOWS\stubinstaller5356.exe"

O15 - Trusted IP range: 67.19.185.246

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c32.cab

Cierra el Hijack.

Busca estos archivos y los eliminas:

C:\wp.exe

c:\mssyst32.exe

MSAOL32.exe

crssrs.exe

juutd.exe

C:\UNMT.EXE

sounds.exe

"C:\WINDOWS\stubinstaller5356.exe"

Busca estas carpetas y elimínalas:

C:\Archivos de programa\ISTsvc\

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se actualizado al 15/04/05

Ejecuta el programa :deldomains.zip

Descomprímelo, te quedará este archivo:

DelDomains.inf

Click derecho sobre este y selecciona Install

Ya está.

Reinicia normal, conecta Internet y pega un nuevo log

Salu2

Caito

Naso7 · Mensaje por **Naso7** » 21 Abr 2005, 19:53

Hola, otra vez, el ordenador va mejorando pero sigue el circulo rojo con una x blanca al lado del reloj. El unico problema que he tenido al seguir los pasos es que al eliminar el proceso ~~[b]~~crssrs.exe me dice que es un proceso critico del sistema y no me deja, que hago?

Mensaje por **maura63** » 22 Abr 2005, 09:11

Prueba con Spybot

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://kujoe.com/freeware/spybot.php

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp

Parche para el DSO/EXPLOIT

http://www.majorgeeks.com/downloadget.php?id=4392&file=11&evp=17a4645dc80f11461d8549719a9350e0

No hacer nada, la descarga comenzara automaticamente.

Una vez actualizado el programa hay que pulsar sobre inmunizar.

Luego lanzalo en modo seguro y desactiva la restauracion.

Saludos

maura63

Mensaje por **msc hotline sat** » 22 Abr 2005, 11:15

Habiendo recibido muestra del crssrs.exe de un asociado a nuestro servicios, lo que aparenta ser un actualizador del cortrafuegos del SP2:

..\Run: [SP2 Firewall/Internet Updater] crssrs.exe

tras analizarlo, es un virus de BOT, y enviado a McAfee pasan a detectarlo como SDBOT, y de hecho con el SDATDAILY de hoy ta se controla, como se ve en el log que posteo a continuacion.

[quote="VirusScan"]
McAfee VirusScan for Win32 v4.40.0

Copyright (c) 1992-2003 Networks Associates Technology Inc. All rights reserved.

(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.

Virus data file v4100 created Apr 22 2005

Scanning for 124483 viruses, trojans and variants.

04/22/2005 11:57:19

Options:

A: /PROGRAM /ALL /REPORT A:INFORME.TXT

Scanning A: []

Scanning A:\*.*

A:\SdBot Z (crssrs).gxe ... Found the W32/Sdbot.worm.gen.z virus !!!

A:\crssrs.exe ... Found the W32/Sdbot.worm.gen.z virus !!!

Summary report on A:\*.*

File(s)

Total files: ........... 3

Clean: ................. 1

Possibly Infected: ..... 2

Master Boot Record(s): ......... 3

Possibly Infected: ..... 0

Boot Sector(s): ................ 1

Possibly Infected: ..... 0

Time: 00:00.03
[/quote]

A continuacion pasamos a controlarlo con el ELITRIIP.EXE en la proxima version que estamos haciendo, 1.22

saludos

ms, 22-04-2005

Naso7 · Mensaje por **Naso7** » 23 Abr 2005, 15:01

Entonces, ahora que ya se que es un bot, que hago para eliminarlo????

Mensaje por **maura63** » 23 Abr 2005, 19:22

Pues pasa ELITRIIP.EXE o actualiza tu antivirus que seguro lo controlara, hazlo en modo seguro.

Saludos

maura63

Mensaje por **maura63** » 23 Abr 2005, 19:24

Descarga de ELITRIP.EXE

http://www.zonavirus.com/descargas/elitriip.asp

Saludos

maura63

sigo con probemas

sigo con probemas

Y que hago?

crssrs.exe

ENtonces que hago?