Echar un vistazo, creo q tengo virus, gracias y salu2

[marko]

Logfile of HijackThis v1.99.1

Scan saved at 17:08:56, on 08/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avginet.exe

C:\WINDOWS\System32\kernels32.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\Explorer.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Documents and Settings\Administrador\Escritorio\EliStarA.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE

O4 - HKLM\..\Run: [CXMon] "C:\Archivos de programa\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe

O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_02\bin\npjpi141_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_02\bin\npjpi141_02.dll

O9 - Extra button: (no name) - {8E65B894-C2E9-11D5-BCD3-00E018987509} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Download Software - {C8950078-94A4-4C32-BB9C-4666357965AF} - C:\Programasespecial\index.htm (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {0EB1CA3E-C9C7-42B6-8016-B0CBA435E291} (ImclCtl Class) - http://www.messenger.lycos.es/messenger/client/ActiveXMsgrCore.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.solotu.com/perfiles/DialerData.cab

O16 - DPF: {65E34CC9-B31A-4195-BAEA-8098420D185E} (Lycos Messenger) - http://www.messenger.lycos.es/messenger/client/ActiveXMsgrCore.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_ES_XP.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{81E613A8-D50C-41C0-A6E5-C76D80AB6A73}: NameServer = 80.58.0.33,80.58.32.97

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

[msc hotline sat]

Primero se debe proceder como se indica al principio de este apartado:



https://foros.zonavirus.com/viewtopic.php?t=5148



y empieza por actualizar los parches de microsoft lanzando un windowsupdate !!!



y puedes seleccionar y eliminar las siguientes entradas:









F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe



O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe





O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe [b]<-Este es un adware[/b]



O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe [b]<-Este tiene añadida una s para despistar!!![/b]





O9 - Extra button: (no name) - {8E65B894-C2E9-11D5-BCD3-00E018987509} - C:\WINDOWS\System32\shdocvw.dll



O9 - Extra button: Download Software - {C8950078-94A4-4C32-BB9C-4666357965AF} - C:\Programasespecial\index.htm (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)









O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab



O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab



O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} (IntDialerData Class) - http://www.solotu.com/perfiles/DialerData.cab



O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_ES_XP.cab





_______





Finalmente, envianos este fichero C:\WINDOWS\System32\kernels32.exe que pretende pasar por el Kernel32 pero lleva una s añadida... y lo analizaremos. Mientras sácalo del equipo.



Envianoslo anexado a un mail a zonavirus@satinfo.es en cuyo texto pegues un copiar y pegar de este post, y te contestaremos como respuesta de este Tema



Es posible que no pueda abrir el administrador de tareas (CTRL-ALT-ESC) por culpa de éste, si fuera un troyano conocido que usa este nombre para su gusano, pero modificaría sitios de seguridad del Internet Explorer que no se observan modificadas en el HJT, por ello conviene analizarlo.



saludos



ms, 8-05-2005

[msc hotline sat]

Recibida muestra del KERNELS32.EXE; es identificado por McAfee como virus Downloader.generic.F, con lo que ya es conocido y detectado por los antivirus, pero si en su caso no lo tenía actualizado y no lo detectaba, puede eliminar el fichero y proceder a eliminar las claves indicadas.



Y por supuesto, actualizar su antivirus, si se guarda la muestra en un disquete bien identificado, deberá controlarlo con cualquiera, para lo que puede usar un antivirus ONLINE y verlo:



https://www.virustotal.com/es/



Informenos si tiene algun problema al respecto, y tras eliminar todo lo indicado, para seguir atendiendole o proceder a cerrar el Tema



saludos



ms, 9-05-2005

[marko]

he reiniciado a modo de prueba de fallos...le he pasao actualizado el antivirus,search&destroy,ad-aware,hijackthis....y manualmente desde el registro y en la carpeta sytstem32 no me deja borrarlo y me sigue sin dejar acceder al administrador de tareas...que solucion teneis?

gracias

salu2 ;)

[marko]

por cierto no consigo actualizar el xp..el service pack2 ...me imagino ke es porke es pirata mi version...de que forma podria hacerlo?

asias :)

[msc hotline sat]

Efectivamente, si mo usa XP legalmente registrado, Microsoft no se lo actualizará, por lo que la solucion es legalizarlo. En este foro no se ofrece ayuda al pirateo.



Y para la eliminacion del fichero en cuestion, arranque en modo seguro y deshabilite la restauracion de sistema y podrá eliminar el fichero bien manualmente o bien con un antivirus que se lo detecte, como el de McAfee



saludos



ms, 15-05-2005