(Suspiro)

Golgota · Mensaje por **Golgota** » 17 Ago 2005, 02:01

Bueno, pues ya no se bien que hacer para eliminar lo que tengo en el disco duro (salvo quemar el ordenador, opción poco recomendable porqué ensucia la habitación).

Los "síntomas" son los siguientes y bien raros: se desactiva el sonido emitiendo pitidos desde la CPU cuando se abre alguna ventana o tendria que escucharse algo desde los altavoces; cambia el aspecto del escritorio del XP que pasa a ser del estilo de win98; continuos errores de programas; no deja ejecutar el Internet Explorer (este error es de última hora).

La cuestión es que le pase el avast, el ad-aware y alguno de los antivirus online que recomienda esta misma página pero nada de nada, formatee y una vez hecho esto volvi a pasar el avast actualizado y el ClamWin y nada, sigue igual. Ahora el avast me detecta un ataque externo.

Si me encuentro con el que creo esta maravilla, le parto la mandíbula...

Mensaje por **maura63** » 17 Ago 2005, 08:45

Seguramente te falten actualizaciones por descargar.

Bajar :

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

Saludos

maura63

Mensaje por **msc hotline sat** » 17 Ago 2005, 12:23

Si tras formatear como dices, te sigue pasando, podría deberse a un problema de hardware, como problema de temperatura, por lo que paralelamente al log del HJT solicitadi por maura63 para su analisis, podrías bajar el AIDA32-EVEREST y mirar la temperaura de la CPU, pulsando en SENSOR:

_________

AIDA32 (EVEREST)

http://www.zonavirus.com/datos/descargas/28/EVEREST_Home_Edition.asp

_________

Indicanos los resultados de la medicion como respuesta de este Tema, gracias

saludos

ms, 17-08-2005

Golgota · Mensaje por **Golgota** » 17 Ago 2005, 13:03

Hice lo que me aconsejasteis y aquí va: primero el log del Hijackthis, vaya galimatias;

Logfile of HijackThis v1.99.1

Scan saved at 12:59:12, on 17/08/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

C:\WINDOWS\System32\inetinfos.exe

C:\WINDOWS\System32\wuamk032.exe

C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\ClamWin\bin\ClamTray.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Lavalys\EVEREST Home Edition\everest.bin

C:\Hijackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [MSNS PLUS XP2] inetinfos.exe

O4 - HKLM\..\Run: [Microsoft Update] wuamk032.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ClamWin] "C:\Archivos de programa\ClamWin\bin\ClamTray.exe" --logon

O4 - HKLM\..\RunServices: [MSNS PLUS XP2] inetinfos.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamk032.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{1D103240-FDCF-4540-BBEC-057F0A7494A4}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{1D103240-FDCF-4540-BBEC-057F0A7494A4}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{1D103240-FDCF-4540-BBEC-057F0A7494A4}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

Y por lo que me comentaba msc hotline sobre la temperatura, supongo que por el pitido que emite la cpu cuando se sobrecalienta, esta a 37º, de todas formas dudo que sea de hardware.

Golgota · Mensaje por **Golgota** » 17 Ago 2005, 13:10

El ataque que bloqueaba avast era desde "DCOM Exploit"

Mensaje por **maura63** » 17 Ago 2005, 13:45

Tu log nos indica que nunca has actualizado el sistema operativo ni IE

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Debes tener SP2 en ambos

Descarga estas dos herramientas

UTILIDADES

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Despues de ejecutarlas

INSTALACION DEL SP1 PARA PODER INSTALAR SP2:

http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx

(SE DEBE ESCOGER IDIOMA...)

luego conecta con windows update y sigue actualizando.

Saludos

maura63

Mensaje por **msc hotline sat** » 18 Ago 2005, 18:42

Y aparte de eliminar estas dos claves por lo menos:

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

indicar que el problema venía por el intento de intrusion de cualquier variante del Blaster, Nachi, Raleka, Gaobot, etc, que quería intrusionar por en NETBIOS 135 (RPCDCOM) al no tener parcheado debidamente dicho ordenador.

Una vez instalados los parches al día con el windowsupdate, ya no volverá a poder intrusionar.

Y con la utilidad ELITRIIP indicada por Maura63, podría eliminar cualquiera de las variantes que le hubiera infectado, además de poder detener el intento de intrusion,. asi como saber si la máquina tenía o no aplicado el parche en cuestion, pues si detecta su falta lo indica al final del proceso.

Tras la eliminacion de las claves indicadas, y la instalacion de los parches, indiquenos si se han resuelto todos los problemas para poderconsioderar el Tema solucionado, gracias

saludos

ms, 18-08-2005

Mensaje por **msc hotline sat** » 29 Ago 2005, 20:17

A pesar de haber quedado solucionado, como que en revision rutinaria he visto que habían quedado restos de claves que podían ralentizarte el equipo, añado que conviene eliminar además, estas dos claves:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Si lo lees, hazlo, y sino, ahí queda para la posterioridad.

saludos

ms, 29-08-2005