Ayuda con winsysfirewal32.exe y con alg.exe (CERRADO)

sinue · Mensaje por **sinue** » 14 Ago 2005, 16:31

Escribo con total desconocimiento de si mi problema es causado por virus o spyware, pues solo existen 2 procesos persistentes en mi sistema winsysfirewal32.exe y alg.exe, este ultimo al parecer tiene un proceso asociado (wmiprvse.exe) porque al terminar alg.exe termina el otro tambien. El sintoma principal es que la velocidad de mi conexion baja de manera dramatica al minuto de haberme conectado, las descargas por ejemplo disminuyen de 6kbps a unos risibles 0.4kbps con lo que el tiempo de una descarga de 4 Mb seria de varias horas. Por favor necesito ayuda ya que he intentado casi todo lo especificado en el tutorial de spyware y virus, asi como norton 2004 actualizado hasta julio de 2005, spybot s&d actualizado, adaware SE, antispyware de trend micro, antivirus online etc.

Por ultimo he de recalcar que el funcionamiento del sistema no se ha visto afectado (eso parece) pero si lo ha hecho la velocidad de descarga de paginas web, ademas de decir que llevo con estos dos procesos como 2 meses, pero la limitacion del ancho de banda comenzo apenas hace 3 dias, anteriormente el sistema si se veia afectado en su funcionamiento pero el ancho de banda no, todo se arreglaba con terminar el proceso svchost que ocupara mayor cantidad de memoria, pero ahora no.

Agradezco de antemano cualquier ayuda, aqui dejo mi log del hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 12:12:20 a.m., on 14/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

C:\WINDOWS\runservice.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\Mixer.exe

C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\Winsysfirewal32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [[Win Xp] Personal Firewall] Winsysfirewal32.exe

O4 - HKLM\..\RunServices: [[Win Xp] Personal Firewall] Winsysfirewal32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [[Win Xp] Personal Firewall] Winsysfirewal32.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open Link Target in Firefox - file://C:\Documents and Settings\Sinue Iran\Datos de programa\Mozilla\Firefox\Profiles\pb38l0m5.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html

O8 - Extra context menu item: View This Page in Firefox - file://C:\Documents and Settings\Sinue Iran\Datos de programa\Mozilla\Firefox\Profiles\pb38l0m5.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .swf: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} (SysMonOCX Control) - http://spyzerotest.ahnlab.com/cyworld/plugin/myfirewall20.cab

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Mensaje por **admin** » 16 Ago 2005, 11:54

el fichero q mencionas no aparece info por ningun lado, por eso te recomiendo que elimines las siguientes entradas y cojas el fichero y le cambies el nombre.

O4 - HKLM\..\Run: [[Win Xp] Personal Firewall] Winsysfirewal32.exe

O4 - HKLM\..\RunServices: [[Win Xp] Personal Firewall] Winsysfirewal32.exe

O4 - HKCU\..\Run: [[Win Xp] Personal Firewall] Winsysfirewal32.exe

Cuentanos que tal te fue, por q yo tengo el fire de windows y no tengo ese servicio por ningun lado y es la 1 vez q lo veo, el fichero alg.exe es parte de Microsoft Windows que comunica con el firewall, de todas maneras prueba a ver.

Ademas para mejorar el rendimiento yo fixearia tambien los siguientes.

O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)

sinue · Mensaje por **sinue** » 17 Ago 2005, 03:10

Segui las instrucciones al pie de la letra, y el rendimiento mejoro (de 0.4

a 2.4 kbps ya es algo) por lo cual estoy muy agradecido. Solo encontre un

archivo con nombre parecido al que mencione

C:\windows\prefetch\Winsysfirewal32.exe y lo renombre, pero las entradas en

el registro y el inicio del sistema asi como el proceso seguian apareciendo

aun cuando ya no existe ningun archivo con un nombre parecido al mencionado.

Ahora la carga de paginas web es casi normal, pero la descarga de archivos

es casi imposible, debido a que la tasa de transferencia disminuye conforme

se va descargando el archivo, inclusive ahora me impide ejecutar live update

para norton, porque el servidor me corta por la imposibilidad de sostener

una velocidad de transferencia de datos razonable.

Posteriormente aparecio un mensaje de riesgo de norton que dice

Nombre de objeto: C:\WINOWS\system32\rdriv.sys

Nombre de virus: Trojan.Cachecachekit

Navegue por la liga que ofrece este mensaje, pero el sitio de symantec solo

ofrece como solucion la actualizacion del norton, cosa que como ya explique

me es imposible.

Por si fuera poco spybot s&d no ha podido librarse de las siguientes

entradas:

Windows Security Center.AntiVirusDisableNotify

Windows Security Center.AntivirusOverride

Windows Security Center.FirewallDisableNotify

Windows Security Center.FirewallOverride

Windows Security Center.SP2Update

Windows Security Center.UpdateDisableNotify

Y por si no fuera suficiente ahora tengo que marcar el numero telefonico mas

de una vez, ya que en el primer intento medice que la linea esta ocupada

Agradecere cualquier tipo de ayuda ya que me encuentro realmente desconcertado. aqui dejo mi ultimo log del HJT:

Logfile of HijackThis v1.99.1

Scan saved at 08:02:23 p.m., on 16/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

C:\WINDOWS\runservice.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\Mixer.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ntvdm.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)

O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [[Win Xp] Personal Firewall] Winsysfirewal32.exe

O4 - HKLM\..\RunServices: [[Win Xp] Personal Firewall] Winsysfirewal32.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [[Win Xp] Personal Firewall] Winsysfirewal32.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open Link Target in Firefox - file://C:\Documents and Settings\Sinue Iran\Datos de programa\Mozilla\Firefox\Profiles\pb38l0m5.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html

O8 - Extra context menu item: View This Page in Firefox - file://C:\Documents and Settings\Sinue Iran\Datos de programa\Mozilla\Firefox\Profiles\pb38l0m5.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .swf: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} -

O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} -

O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.5.0_01) -

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Ati Management (Winconfig32) - Unknown owner - C:\WINDOWS\scvhost.exe

Mensaje por **maura63** » 17 Ago 2005, 08:43

Elimina estas entradas

O4 - HKLM\..\Run: [[Win Xp] Personal Firewall] Winsysfirewal32.exe -

O4 - HKLM\..\RunServices: [[Win Xp] Personal Firewall] Winsysfirewal32.exe -

O4 - HKCU\..\Run: [[Win Xp] Personal Firewall] Winsysfirewal32.exe -

O8 - Extra context menu item: Open Link Target in Firefox - file://C:\Documents and Settings\Sinue Iran\Datos de programa\Mozilla\Firefox\Profiles\pb38l0m5.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewlink.html -

O8 - Extra context menu item: View This Page in Firefox - file://C:\Documents and Settings\Sinue Iran\Datos de programa\Mozilla\Firefox\Profiles\pb38l0m5.default\extensions\{5D558C43-550F-4b12-84AB-0D8ABDA9F975}\firefoxviewpage.html -

O16 - DPF: {9BDBC41E-C335-4263-83C0-ECE78EE28A33} - -

O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.5.0_01) - -

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing) -

O23 - Service: Ati Management (Winconfig32) - Unknown owner - C:\WINDOWS\scvhost.exe -

Descarga y lanza estas dos utilidades

UTILIDADES

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Despues conecta via windows update y actualiza tu sistema operativo e I.E., te falten parches criticos.

Saludos

maura63

sinue · Mensaje por **sinue** » 19 Ago 2005, 03:09

Segui de nuevo las instrucciones, pero el fichero winsysfirewal32.exe volvia a aparecer cada vez que reiniciaba el sistema, asi que desabilite el residente y la proteccion "tea timer" que ofrece spybot s&d para cambios en el registro, y voila el fichero se elimino, pero aun asi los problemas persistian, asi que pase el antivirus de nuevo, y detecto un virus en la raiz c:\ llamado ied.exe que tenia no solo la aplicacion, sino que tambien dos archivos zip del mismo nombre ied1.zip e ied2.zip, procedi a renombrar la aplicacion y a eliminar los dos .zip, con lo cual volvio a la normalidad temporalmente, en ese tiempo pude actualizar el antivirus y hacer varias descargas de gran tamaño en minutos, cosa que anteriormente hubiera tomado horas. Esto fue hasta hoy en la tarde, cuando se volvio a presentar el problema de lentitud en la transmision de datos, aunque solo fue una vez no tengo idea que pueda ser en esta ocasion. Intente actualizar via windows update, pero la aplicacion se bloquea, intente descargar los parches manualmente, pero al instalarlos me dice que el idioma del parche no coincide con el del Windows XP que tengo, a pesar de que lo estoy bajando del sitio de microsoft mexico. Por ultimo se me sigue presentando el problema de que tengo que marcar mas de una vez el numero telefonico de acceso a internet para que funcione, ya que en el primer marcaje siempre me sale el mensaje de que la linea esta ocupada. Aun asi gracias por la ayuda y espero tener pronta respuesta para los problemas aqui comentados. Aqui esta mi log actualizado:

Logfile of HijackThis v1.99.1

Scan saved at 08:09:04 p.m., on 18/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

C:\WINDOWS\runservice.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\Mixer.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HJT\HijackThis.exe

C:\WINDOWS\scvhost.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .swf: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} -

O17 - HKLM\System\CCS\Services\Tcpip\..\{BCEF3705-336B-44BB-8697-0AEA328494E8}: NameServer = 148.240.241.41 148.240.241.9

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Ati Management (Winconfig32) - Unknown owner - C:\WINDOWS\scvhost.exe

Mensaje por **msc hotline sat** » 19 Ago 2005, 09:55

Aquí hay gato encerrado, y es muy importante que lo que hagas al respecto, lo lances arrancando en modo seguro y deshabilitando la restauracion de sistema

Aparte, al final lanza un windowsupdate, pues no tienes actualizados los parches.

Pues arrancando como te he indicado, vuelve a eliminar las claves que te indicaba maura63, y además ejecuta el ELIPROTO.REG que generarás siguiendo estas instrucciones:

Seleccionar el contenido entre líneas del siguiente script y pegarlo en el bloc de notas y guardarlo como ELIPROTO.REG y después arrancar en modo seguro y con restauracion de sistema deshabilitada, ejecutar el ELIPROTO.REG generado y aceptar los cambios:

_______________________

REGEDIT4

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]

@="http://"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes]

"ftp"="ftp://"

"gopher"="gopher://"

"home"="http://"

"mosaic"="http://"

"www"="http://"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]

@=""

"http"=dword:00000003

"https"=dword:00000003

"ftp"=dword:00000003

"file"=dword:00000003

"@ivt"=dword:00000001

"shell"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]

@=""

"http"=dword:00000003

"https"=dword:00000003

"ftp"=dword:00000003

"file"=dword:00000003

"@ivt"=dword:00000001

"shell"=dword:00000000

___________________

Tras ello, eliminadas las claves indicadas y ejecutado el ELIPROTO.REG, arranca normal y ytas enviarnos una muestra como te indicanmos al final del post, elimina el fichero de la carpeta de windows:

C:\WINDOWS\scvhost.exe

(Cuidado no vayas a borrar el SVCHOST.EXE de windows\system32 !!!)

Y tras ello mira si lanzando otro HJT han quedado eliminadas las claves de una vez !

saludos

~~[b]~~NOTA: [/b]Este SCVHOST.EXE de C:\windows debe tratarse de un nuevo virus, ya que dices que no lo detecta tu antivirus actualizado ni los ONLINE. Por ello te pedimos que nos envies una muestra a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques la referencia REF SCVHOST para analizarlo y proceder en consecuencia, informandote del resultado como respuesta de este Tema. Es raro que además de cambiarle de posicion una letra respecto al SVCHOST de windows, lo cxambien de carpeta, pues acostumbran a hacer lo uno o lo otro pero no las dos cosas juntas. Mira de enviarnoslo antes de borrarlo, gracias.

ms, 19-08-2005

sinue · Mensaje por **sinue** » 20 Ago 2005, 19:57

Con agrado puedo decir que el problema esta casi resuelto. De nuevo segui las instrucciones, eliminando las entradas indicadas y ejecutando el archivo de registro ELIPROTO.REG, ademas rastreè y elimine todos los registros que hacian referencia a scvhost.exe mediante regedit. Al buscar el archivo referenciado, el sistema me devolvio que no existe este en mi ordenador, tan solo encontre c:\windows\prefetch\SCVHOST.EXE-1F6B4DC9.pf (del cual envie una muestra como se me indico), despues pase norton, spybot y adaware de nuevo, con lo que el sistema y el ancho de banda se normalizo, excepto que la velocidad de descarga de archivos sigue siendo baja (uso firefox para esto), es decir antes del problema era de 6kbps como minimo y ahora "solo" de 4kbps aun asi agradezco la ayuda proporcionada en el foro, y dejo mi ultimo log para ver si me pueden decir que puedo hacer para mejorar el rendimiento de las descargas de archivos.

Logfile of HijackThis v1.99.1

Scan saved at 12:22:22 p.m., on 20/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

C:\WINDOWS\runservice.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\Mixer.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: C:\WINDOWS\lbbho.dll - {085E00B6-8D41-4874-A7E7-D8DF5D48496A} - C:\WINDOWS\lbbho.dll

O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .swf: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} -

O17 - HKLM\System\CCS\Services\Tcpip\..\{BCEF3705-336B-44BB-8697-0AEA328494E8}: NameServer = 148.240.241.41 148.240.241.9

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Mensaje por **maura63** » 20 Ago 2005, 20:07

Elimina estas dos entradas

O2 - BHO: C:\WINDOWS\lbbho.dll - {085E00B6-8D41-4874-A7E7-D8DF5D48496A} - C:\WINDOWS\lbbho.dll -

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing) -

Saludos

maura63

Mensaje por **msc hotline sat** » 20 Ago 2005, 20:56

Pues hay que señalar que, en el penultimo log del HJT, el SCVHOST aparecia como proceso en marcha lanzado desde c:\windows:

[quote]
sinue

Novato

Registrado: 23 Mar 2005

Mensajes: 9

Publicado: Vie Ago 19, 2005 3:09 am Asunto:

--------------------------------------------------------------------------------

Segui de nuevo las instrucciones, pero el fichero winsysfirewal32.exe volvia a aparecer cada vez que reiniciaba el sistema, asi que desabilite el residente y la proteccion "tea timer" que ofrece spybot s&d para cambios en el registro, y voila el fichero se elimino, pero aun asi los problemas persistian, asi que pase el antivirus de nuevo, y detecto un virus en la raiz c:\ llamado ied.exe que tenia no solo la aplicacion, sino que tambien dos archivos zip del mismo nombre ied1.zip e ied2.zip, procedi a renombrar la aplicacion y a eliminar los dos .zip, con lo cual volvio a la normalidad temporalmente, en ese tiempo pude actualizar el antivirus y hacer varias descargas de gran tamaño en minutos, cosa que anteriormente hubiera tomado horas. Esto fue hasta hoy en la tarde, cuando se volvio a presentar el problema de lentitud en la transmision de datos, aunque solo fue una vez no tengo idea que pueda ser en esta ocasion. Intente actualizar via windows update, pero la aplicacion se bloquea, intente descargar los parches manualmente, pero al instalarlos me dice que el idioma del parche no coincide con el del Windows XP que tengo, a pesar de que lo estoy bajando del sitio de microsoft mexico. Por ultimo se me sigue presentando el problema de que tengo que marcar mas de una vez el numero telefonico de acceso a internet para que funcione, ya que en el primer marcaje siempre me sale el mensaje de que la linea esta ocupada. Aun asi gracias por la ayuda y espero tener pronta respuesta para los problemas aqui comentados. Aqui esta mi log actualizado:

Logfile of HijackThis v1.99.1

Scan saved at 08:09:04 p.m., on 18/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

C:\WINDOWS\runservice.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\Mixer.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HJT\HijackThis.exe

~~[b]~~C:\WINDOWS\scvhost.exe [/b]

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .swf: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} -

O17 - HKLM\System\CCS\Services\Tcpip\..\{BCEF3705-336B-44BB-8697-0AEA328494E8}: NameServer = 148.240.241.41 148.240.241.9

O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Ati Management (Winconfig32) - Unknown owner - C:\WINDOWS\scvhost.exe
[/quote]

por lo que entiendo que lo ha eliminado algun proceso posterior, el mismo ELISTARA si lo ejecutó después, lo cual aparecerá reflejado en el INFOSAT.TXT del directorio raiz

Y esta clave del LBBHO.DLL debería haber sido eliminada por los antispyware, pues está relacionado con ellos y podría muy bien ser el principal causante de la ralentizacion:

[quote]
lbbho . dll

--------------------------------------------------------------------------------

Description:

Lbbho.dll is a browser helper object, it is related to adware RelatedLinks, which generates targeted advertising links by recording search terms entered and contacting to its controlling server.

[/quote]

Esperemos que tras todo ello nos informe de que se han solucionado todos los problemas al respecto

saludos

ms, 20-08-2005

sinue · Mensaje por **sinue** » 23 Ago 2005, 05:46

Perdon por tardar tanto en contestar, la verdad es que los problemas siguen

presentandose, aunque en una escala mucho menor, ahora salen 5 entradas

extrañas en hijackthis entre otras cosas, pero por motivos personales no me

sera posible enviar otro post sino hasta el mes que entra,asi que si no hay

inconveniente tendre que recurrir a su ayuda mas adelante, con otro tema,

hasta luego y gracias por la ayuda-

Mensaje por **msc hotline sat** » 23 Ago 2005, 08:27

Pues cerramos este Tema y, tal como indica, abra un Tema bueno cuando vuelva de aqui un mes, en el que puede indicar el iguiente link de acceso a este, y asi poder recordar los gecgos:

https://foros.zonavirus.com/viewtopic.php?t=8058&highlight=

saludos y hasta entonces

ms, 23-08-2005