tengo problema

manux · Mensaje por **manux** » 09 Sep 2005, 19:14

al arrancar se me carga una cosa extraña

aqui paso mi log:

gracias

Logfile of HijackThis v1.99.1

Scan saved at 18:41:46, on 09/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\cisvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe

C:\ARCHIV~1\Agnitum\TAUSCA~1.7\taumon.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\WINDOWS\System32\Slinder.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

C:\WINDOWS\System32\bnx.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Wanadoo\USB ADSL Modem\dslmon.exe

C:\Archivos de programa\Logitech\Video\FxSvr2.exe

C:\Archivos de programa\AVerTV\QuickTV.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\manu\Mis documentos\antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe

O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe

O4 - HKLM\..\Run: [Tau Monitor] C:\ARCHIV~1\Agnitum\TAUSCA~1.7\taumon.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [steam] steam.exe

O4 - HKLM\..\Run: [Sygate Personal Firewall] Slinder.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [AnyDVD] C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [msennger] C:\WINDOWS\System32\bnx.exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif

O4 - HKLM\..\RunServices: [steam] steam.exe

O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Slinder.exe

O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [Sygate Personal Firewall] Slinder.exe

O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz

O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif

O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV\QuickTV.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122228170453

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AE013019-FE1F-4CBA-B2BF-416AA410E3A0}: NameServer = 62.36.225.150 62.37.228.20

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Mensaje por **admin** » 09 Sep 2005, 19:35

de momento borra todas las entradas que ponga..

msdos.pif

y luego nos cuentas...

manux · Mensaje por **manux** » 09 Sep 2005, 19:59

Lo primero gracias

pero soy un poco novato

¿Cómo las borro? ¿Con el hijackthis?

Gracias

Mensaje por **msc hotline sat** » 10 Sep 2005, 12:55

Te contesto a tu pregunta, pero no las elimines hasta que hayas eliminado los virus que tienes:

http://www.sophos.com/virusinfo/analyses/w32rbotkz.html

http://www.sophos.com/virusinfo/analyses/w32rbotamp.html

Para eliminarlos, arranca en modo seguro deshabilita la restauracion de sistema y lanza tu antivirus, que lo detectará y eliminará

Luego posteanos un nuevo log del HJT u te indicaremos las claves a eliminar.

La eliminacion de las mismas se logra lanzando el HJT, marcando las claves a a eliminar y dandole a FIX, pero mucho cuidado con la eliminacion de claves en el registro !!! Te puedes cargar la operatividad del sistema operativo muy facilmente.

Ls claves que al eliminar dichos virus habrán desaparecido del log del HJT , aparte de las que eliminen en otras partes del registro y demás, serán:

del RBOT-KZ:

O4 - HKLM\..\Run: [Sygate Personal Firewall] Slinder.exe

O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Slinder.exe

O4 - HKCU\..\Run: [Sygate Personal Firewall] Slinder.exe

y del RBOT.AMP:

O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif

O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif

O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif

O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif

Para arrancar en modo seguro y deshabilitar la restauracion de sistema para poder lanzar el antivirus y que elimine estos virus, recuerda:

https://foros.zonavirus.com/viewtopic.php?t=5266

y por ultimo, te faltan actualizar parches, uno entra por falta del MS05-039 y el otro por anteriores que incluye el SP2, que al no tenerlo, tampoco puedes tener el de Agosto de este año, antes indicado

Te recuerdo que para actualizar parches con el windowsupdarte es tan facil como abrir el navegador, ir a Herramientas y seleccionar Windowsupdate, que busque las actualizaciones criticas pendientes y que las instale. Sino, los antivirus no pueden evitar la entrada de virus por los agujeros de seguridad no parcheados.

saludos

ms, 10-09-2005

Nota: Y si del primer virus no detectaras nada, si tubieras instalado el cortafuegos por software de sygate no elimines dichas del slinder, podría tratarse de una coincidencia,. ms.