Socorro, ayuda, mi ordenador esta raro, raro... (TERMINADO)

[toniv]

Por favor necesito de un amigo que me diga que le puede pasar a mi ordenador, y si hay remedio:

1.- la barra con el volumen de windows cuando la abro se queda fija en la pantalla sin cerrarse

2.- el sonido no funciona, (he comprobado que los dispositivos funcionan y me indican que no hay ningún problema...)

3.- cuando deseo buscar un archivo, en inicio>buscar>archivos o carpetas ... me sale la ventana pero vacia, sin letras.

4.- en cualquier página web, deseo buscar una palabra y ni me la encuentra y la ventanita no se puede cerrar.



Gracias.

[msc hotline sat]

Puede sercorrupcion del software o procesamiento erroneo por anpmalia de hardware, o presencia de un malware residente, por lo que empezaremos por lo ultimp, que es lo mas facil:



Lanza un antivirus ONLINE y dinos si te detecta algo:



https://www.virustotal.com/es/



Si no es el caso, seguiremos eliminando basura como spywares y awares, segun se informa en:



https://foros.zonavirus.com/viewtopic.php?t=4795



y si persisten los problemas, trataremos de reparar el sistema operativo y por ultimo, si todo ello es negativo, analizaríamos con el log del HiJackThis para ver si tienes procesos atipicos residentes no controlados, que puedan incordiar, pero no se deben tocar claves visibles sin saber antes si se detecta la presencia de algo conocidos, ya que podríamos borrar la punta del iceberg y no detectar tras ello lo que hay debajo, invisible con el HJT



Y por ultimo, si todo ello no solventara el problema, habría que pensar en anomalía de hardware o de entorno, temperatura, refrigeracion, avería de componentes, etc.



Vayamos paso a paso e informenos de los resultados como respuestra de este Tema, gracias



saludos



ms, 18-06-2005

[toniv]

Amigo msc hotline sat:

He seguido las instrucciones del foro en el supuesto de virus:

- reiniciado en modo seguro

- escaneado con el antivirus que tengo, el Zone Labs Security y con Ad-aware SE profesional.

El antivirus me ha detectado un virus que he borrado y el spyware ha encontrado varios archivos peligrosos que he eliminado.

Reiniciado el ordenador.



No obstante, y siguiendo tus indicaciones, he querido escanera con la web enlace, he escrito mi e-mail y dado a "start scan" y no me hace nada, ¿tengo que bajarme algún archivo de esta web, antes?

Gracias.

[msc hotline sat]

El antivirus ONLINE que te he indicado es muy simple de acceso.



Una vez en su pagina debes indicar la unidad a testear y darle a SCAN.



y si te detecta algo, dinos el qué, igual que lo que eliminaste, pues puede servirnos para facilitarte utilidades con las que restaurar claves de registro modificadas por el virus y que deben restaurarse para devolver la normalidad al ordenador



saludos



ms, 18-06-2005

[toniv]

1.- No le puedo indicar que unidad quiero que me scanee.

2.- Cuando le doy a STAR SCAN no hace nada.

[caito]

otras alternativas :

http://www.bitdefender.com/scan8/

http://www.ravantivirus.com/scan/

http://www.windowsecurity.com/trojanscan/

Salu2

Caito

[toniv]

Caito, gracias con windowssecurity he podido escanear, no encontrando ningún fichero infectado.



¿Qué me recomiendas que haga ahora?



Gracias, Caito.

[caito]

Si no tienes problemas con tu pc yo diría que ya está .

Salu2

Caito

[toniv]

Gracias Caito, pero el problema sigo teniendolo (mira mi primera nota).

Bien, siguiendo con las recomendaciones de msc hotline sat, os mando el resultado de hijackthis, os ruego que le echeis un vistazo y me digáis si hay alguna anomalia o rareza que deba subsanar.



Gracias.







Logfile of HijackThis v1.99.1

Scan saved at 0:46:30, on 19/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\system32\WinSvr.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\ARCHIV~1\mcafee.com\agent\mcregwiz.exe

C:\WINDOWS\system32\MsPMSPSv.exe

c:\archivos de programa\mcafee.com\shared\mghtml.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Babylon\Babylon.exe

C:\WINDOWS\system32\SysCtl.exe

C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Archivos de programa\AVerTV\QuickTV.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/actualidad/Noticias/default.asp?d=1&id=0000058029

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telefonica.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [WinSvr] C:\WINDOWS\system32\WinSvr.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Babylon Translator] C:\Archivos de programa\Babylon\Babylon.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Service Manager.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'itime.dll' missing

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,83/mcinsctl.cab

O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1041_ES_XP.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116274391921

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/es/1,0,0,20/mcgdmgr.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4413A7B6-D36D-43F9-8EE5-246015566AD2}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe (file missing)

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Unknown owner - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Gracias.

[caito]

Imprime o copia estas indicaciones!!!

Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack



Baja este programa:

disk cleaner

http://www.xs4all.nl/~mp2004/



Baja este programa :

http://cexx.org/LSPFix.exe



Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )



Desactiva Restaurar Sistema

Reinicia en Modo seguro

Haz que se vean todos los archivos.

Cierra todas las aplicaciones

Lanza el Hijack

Busca “Open the Misc Tools Section"

Selecciona "Open process manager"

Busca los siguientes procesos:

WinSvr.exe

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:

C:\WINDOWS\system32\WinSvr.exe

C:\WINDOWS\system32\SysCtl.exe

O4 - HKLM\..\Run: [WinSvr] C:\WINDOWS\system32\WinSvr.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k

O10 - Broken Internet access because of LSP provider 'itime.dll' missing

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab

O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1041_ES_XP.cab

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab

Cierra el Hijack.

Busca estos archivos y los eliminas:

C:\WINDOWS\system32\WinSvr.exe

C:\WINDOWS\system32\SysCtl.exe

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se 1.06 actualizado al 13/06/05

Reinicia normal, conecta Internet y pega un nuevo log

Salu2

Caito

Pd : si luego de la limpieza tienes problemas con tu conección de Internet haz esto:

Ejecuta el LSPfix( el que bajaste anteriormente )

Doble click

Selecciona: (Advanced) "I know what I'm doing"

Seleciona : 'itime.dll'

(panel izquierdo)

Selecciona con la flecha derecha ese archivo y traélo al panel REMOVE (panel derecho).

Luego dale al boton FINISH .

Reinicia la pc.

[msc hotline sat]

Dejando en cuarentena el post anterior, antes de nada conviene eliminar los virus que tienes, y que no has visto al no poder lanzar un antivirus como el que te sugerí. Utiliza este en su defecto, y elimina lo que detectes, pues de borrarlo manualmente con el HJT, dejarías claves en el registro que ya no restaurarían los antivirus posteriormente, al no encontrar el gusano.



Por ello, y sin menosprecio de lo indicado por Caito, antes lanza este antivirus (u otro, pero antivirus, aparte de los antitroyanos y antispywares que hayas podido pasar)



http://security.symantec.com/default.asp?productid=symhome&langid=ie&venid=sym



y si no pudieras lanzarlo, te índivcaríamos otros, pero la presencia del backdoor quie pudiera haber correspondiente al SYSCTL.EXE:



http://securityresponse.symantec.com/avcenter/venc/data/backdoor.peers.html



que, si bien está en carpeta de sistema en lugar de la de windows que indica la descripcion, no es normal y convendría por ello ver si lo detectan los antivirus, y si no, antes de eliminarlo, te ruego nos lo envies a zonavirus@satinfo.es para saber de qué se trata, y tras analizarlo, implementar su eliminacion (incluyendo restauracion de claves) en alguna de nuestras utilidades que ya te indicaríamos.



Envianos este fichero anexado a un mail cuyo texto sea un copiar y pegar de este post, para poder contestarte como respuesta a este Tema



Pero lanza un antivirus ONLINE, y mejor si tuvieras router ADSL, arrancando en modo seguro con funciones de red, ta que así podrías eliminar los virus que detectases, al no estar en uso.



Al mismo tiempo, y aunque se debe tratar de un troyano, envianos tambien el fichero WinSvr.exe para que procedamos igual que con el anterior.





Y tras ello, acaba la limpieza con lo que indica Caito, por supuesto.



saludos



ms, 19-06-2005

[toniv]

Gracias Sr. Caito por sus instrucciones.



Sr. msc hotline sat, he seguido las pautas que Caito me ha indicado, y siento decirle que he eliminado los ficheros dudosos o peligrosos que han detectado en el log que remití, por lo que no puedo mandarlos para su análisis. Sus consejos los leí más tarde.



Bien, "Eliminados" (entre comillas) los troyanos o virus que tenía, los fallos del sistema aún subsiste, como son:

1.- El sonido no funciona, he instalando de nuevo los driver de la tarjeta de sonido.

2.- La ventana de búsqueda de archivos (inicio>Archivos o carpetas...) se abre, pero sin texto alguno.

3.- La búsqueda de palabras en páginas Web, me aparece la ventana pero está inactiva.



Mil gracias.

[msc hotline sat]

Pues lo siento porque con las muestras hubieramos podido monitorizar su comportamiento y ver lo que tocaban mas allá de lo que presenta el log del HJT



Si vuelves a incorporar dichos archivos, por navegacion o intrusismo, envianos muiestra y las analizaremos, ya que casi siempre hay que deshacer lo hecho por el malware, no limitarse a eliminar este y su clave de carga, quie si bien debe hacerse, no antes desaber que mas hace o ha hecho.



Por si se solucionara con ello, cabe reinstalar los drivers de sonido y hasta reparar el sistema operativo, y aparte de lo dicho y hecho, ver si algun forero ha tenido experiencias al respecto, para lo cual dejo abierto este Tema.



saludos



ms, 19-06-2005

[toniv]

Sr. msc hotline sat como el Sr. Caito han sido de un gran ayuda, por mi parte voy a proceder a reparar el SO, incluidos los drivers de la tarjeta de sonido.



Les estoy muy agradecido. Por mi parte, puede vd. cerrar el tema.

[msc hotline sat]

Pues entendidos, cuando quieras ya sabes donde estamos



Y tal como nos indicas, procedemos a cerrar el Tema



saludos



ms, 19-06-2005