bloodhound.w32.ep, reinicia mi pc al acceder a internet

session · Mensaje por **session** » 15 Ago 2005, 15:03

Hola, creo que he conseguido borrarlo del sistema al pasar el antivirus kaspersky. pero ahora cada vez que quiero conectarme a internet con el ADSL, en el momento que pone "comprovando contraseña" y se va a conectar a internet el ordenador se reinicia.

El caso es que uso el XP Professional y por lo q he leido podria ser por haber borrado alguna de las librerias wininet.

Si vosotros creeis que puede estar causado por esto os agradeceria que me dijeseis, cuantas librerias son y

la ruta de su ubicacion (porq me parece recordar que habia dos .dll una escrita en minusculas y otra en mayusculas) para sustituir las infectadas o colocar la q falte.

Mensaje por **flacoroo** » 15 Ago 2005, 15:24

Si exactamente hay dos wininet uno para sytem32 y el otro para el i386....en windows xp hay una opcion que dices restaurar sistemas esta se encuentra en programas de ahi a accesorios, de ahi herramientas del sistema y ahi se encuenta en caso de que nop se pueda haz lo siguiente, si tienes el disco de instalacion de tu windows XP insertalo y cuando pida si deseas hacer algo busca la opcion reparar y asi recuperas los archivos perdidos.

no se te olvide hacer esto tambien....

Primero que haras es eliminar todos tus archivos temporales de la computadora, sigue estos pasos, vas a inicio --->ejecutar, escribes [color=green]%temp%[/color] y borras todo lo que salga.

bajate el programa spybot de esta web de descarga, lo actualizas, tambien actualizas tu antivirus...despues pones tu computadora en modo seguro y corres los dos, primero el spybot y despues el antivirus...nos dices como te fue, si sale un virus, nos dices cual es por si no lo puedes borrar......

session · Mensaje por **session** » 15 Ago 2005, 22:10

lo unico q he podido hacer es borrar los archivos temporales, porq para pasar el spybot me dice q primero hay q actualizarlo :(

y lo de restaurar sistema lo desactive ya q creia poder eliminar este pu** virus.

Y como el XP es piratilla pues tampoco he podido hacer lo del disco de instalacion.

Desde ms dos tampoco he podido sustituir la winini.dll

pero eso si he podido pasar el hijack:

Logfile of HijackThis v1.99.1

Scan saved at 20:21:33, on 15/08/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Nemcode.SERVICOM-AS74\Escritorio\NUEVO\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp6B9A.tmp

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [mswspl] C:\Archivos de programa\Windows Media Player\wmplayer.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O13 - WWW. Prefix: http://ehttp.cc/?

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} - http://www.grupomarineda.net/auto/DialerData.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

O21 - SSODL: System - {59517BA9-515C-4D86-A6BA-3B718D1C14D2} - C:\WINDOWS\system32\system32.dll

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

por lo que veo me parece q habria q eliminar (pero no se como):

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} - http://www.grupomarineda.net/auto/DialerData.cab

O21 - SSODL: System - {59517BA9-515C-4D86-A6BA-3B718D1C14D2} - C:\WINDOWS\system32\system32.dll

y bueno todo el royo de http://www.bestwebslinks.com/

Mensaje por **flacoroo** » 16 Ago 2005, 07:03

en otra computadora bajate el spybot, lo guardas y despues lo instalas y lo actualizas...si tienes memoria usb..copias ahi el instalador de spybot, de ahi te vas a C: de ahi a la carpeta archivos de programas, de ahi a la carpeta de spybot y copias solo las carpetas que se encuentran ahi....de ahi instalas el spybot desde la memoria, cuando termines de instalarlo vas de nuevo a C: de ahi a la carpeta archivos de programas, de ahi a la carpeta de spybot y pegas las carpetas que copiastes y las pegas ahi y ya actualizastes...de ahi pones tu compu en modo seguro o apruebas de errores y lo corres y despues borras todo lo que sale e inmunizas....

Mensaje por **maura63** » 16 Ago 2005, 18:00

Publicado: Mar Ago 16, 2005 5:52 pm Asunto:

--------------------------------------------------------------------------------

Tu log nos indica que nunca has actualizado el sistema operativo ni IE

Platform: [color=red]Windows XP [/color](WinNT 5.01.2600)

MSIE:[color=red] Internet Explorer v6.00 [/color](6.00.2600.0000)

Debes tener SP2 en ambos

Descarga estas dos herramientas

UTILIDADES

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Despues de ejecutarlas

INSTALACION DEL SP1 PARA PODER INSTALAR SP2:

http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx

(SE DEBE ESCOGER IDIOMA...)

luego conecta con windows update y sigue actualizando.

Saludos

maura63

session · Mensaje por **session** » 16 Ago 2005, 18:02

Bueno ya lo pude hacer y me ha borrado unos cuantos virus.

Dialerweb.Ruboskizo: Configuración del usuario (Clave del registro, nothing done)

HKEY_USERS\S-1-5-21-1409082233-1972579041-682003330-1003\Software\Ruboskizo

CoolWWWSearch: Clase raíz (Clave del registro, nothing done)

HKEY_LOCAL_MACHINE\Software\Classes\IETLBAss.DOMP

CoolWWWSearch: Clase raíz (Clave del registro, nothing done)

HKEY_LOCAL_MACHINE\Software\Classes\IETLBAss.DOMP.1

CoolWWWSearch: Configuración (Valor del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\TLBAssADtid

CoolWWWSearch: Configuración (Valor del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\TLBAssBnxt

CoolWWWSearch: Configuración (Valor del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\TLBAssID

CoolWWWSearch: Configuración (Valor del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\TLBAssittid

CoolWWWSearch: Configuración (Valor del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\TLBAssutid

PSGuard: Configuración de desinstalación (Clave del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update

Smitfraud-C.: Configuración (Valor del registro, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\uuid

New.Net: Configuración del usuario (Clave del registro, nothing done)

HKEY_USERS\.DEFAULT\Software\new.net

New.Net: Configuración del usuario (Clave del registro, nothing done)

HKEY_USERS\S-1-5-18\Software\new.net

Alexa Related: Enlace (Reemplazar archivo, nothing done)

C:\WINDOWS\Web\related.htm

Pero cuando quiero acceder a internet

y sale el mensajito "Registrando su equipo en la red..." PUM se reinicia.

Mensaje por **maura63** » 16 Ago 2005, 18:04

Elimina estas entradas.

Lanza hijackthis, pulsa scan, las marcas y pulsa FIX, acepta el mensaje y comprueba.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1 -

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1 -

O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp6B9A.tmp -

O4 - HKLM\..\Run: [mswspl] C:\Archivos de programa\Windows Media Player\wmplayer.exe -

O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe -

O13 - WWW. Prefix: http://ehttp.cc/? -

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} - http://www.grupomarineda.net/auto/DialerData.cab -

O21 - SSODL: System - {59517BA9-515C-4D86-A6BA-3B718D1C14D2} - C:\WINDOWS\system32\system32.dll -

Saludos

maura63

session · Mensaje por **session** » 16 Ago 2005, 18:27

parece q estabamos escribiendo al mismo tiempo los dos :D

Bueno lo del hijack ya lo hice. El ultimo paso ha sido pasar el spybot como comento arriba, el cual me ha detectado mas virus.

ahora el problema sigue siendo lo de el reinicio, he leido algo

sobre el visor de sucesos asi q voy a ver si consigo algo.

session · Mensaje por **session** » 16 Ago 2005, 19:55

pues no me ha servido de mucho, salen errores pero la verdad es q no me entero de gran cosa.

Igualmente creo q el problema radica en las librerias winini, asi q si

teneis XP y me dicis en q carpetas estan las librerias puede q lo solucione.

Ya q creo q borre el WININI.dll q esta en mayusculas, pero no se en q carpeta estaba.

Mensaje por **msc hotline sat** » 18 Ago 2005, 12:07

Si tienes reinicios y el ELITRIIP no te ha detectado nada, mira de lanzar un windowsupdate por si te faltara

el parche MS05-039, e informate sobre este nuevo gusano:

https://foros.zonavirus.com/viewtopic.php?t=8096

saludos

ms, 18-08-2005