problemas de conexion tras virus backdoor (Terminado)

[ferluarca]

Hola chicos, he tenido un problema que la conexion a internet se bloqueaba ya que el svchost.exe se ponía al 99% y me bloqueaba todo hasta que reinicié.

Pasé el antivirus a prueba de fallos y me detectó un gusano Backdoor.rbot.gen, lo eliminé, quité la opcion de restaurar sistema, limpié el registro siguiendo instrucciones del antivirus y el svchost ya no lo hace, pero el problema es que aunque se conecta, no entra ni en las páginas y conecta con el servidor de correo, osea, no tengo internet.

¿Me podéis decir que hago?

[maura63]

Bajar :

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.



Si tienes entradas con clave 010 que impiden la navegacion usa



*******************************************************************

[size=150][color=darkblue][b]Solucion a los problemas de conexion a Internet (LSP)[/b][/color][/size]

Hay Anti-spyware que rompe, borra o modifica el Winsock por Layered Service Provider (LSP), lo que origina que no se pueda conectar a Internet, os presentamos un problema que suele solventar este problema, muy aconsejable leer el manual.



· [url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-FIX[/b][/url]



· [url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-FIx[/b][/url] (Español)





Saludos

maura63

[ferluarca]

OK, mañana os lo envío, ahora estoy en el curro.

Gracias.

[msc hotline sat]

No vayas a enviarlo por mail, simplemente selecciona el resultado, haz un Copiar y lo pegas en un proximo post tuyo de respuesta a este Tema, gracias



salidps



ms. 27-09-2005

[ferluarca]

A continuacion os paso lo que me sale en el Hijackthis, no obstante os puedo comentar otras novedades:

-El virus encontrado exacto se llamaba W32/sdbot.worm.gen y lo encontró el avenger de mcafee, el bitdefender ni se enteró.

-Seguí instrucciones de otro post donde le deciais como copiar el archivo svchost desde el disco de XP, lo hice, lo copié, reinicié y sigue igual.

-Intenté instalar el service pack 2 de xp y al final da un error y finaliza la instalacion dejandolo como estaba.

-Intenté en último remedio reparar windows desde el disco de windows, le doy R, selecciono 1 C:Windows y me pide la contraseña del administrador, cosa que no tiene, no pongo nada doy intro y me sale c\windows\ donde tengo que poner algo y no sé que es, le doy exit y reinicia.(probé a poner de todo y me dice que no es un comando válido).

Toi desesperao.

Os dejo el resultado:



Logfile of HijackThis v1.99.1

Scan saved at 22:30:09, on 27/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Softwin\BitDefender9\vsserv.exe

C:\WINDOWS\System32\nvraidservice.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\archiv~1\softwin\bitdef~1\bdmcon.exe

C:\Archivos de programa\Softwin\BitDefender9\bdoesrv.exe

C:\archiv~1\softwin\bitdef~1\bdswitch.exe

C:\archiv~1\softwin\bitdef~1\bdnagent.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Digisoft AntiDialer\AntiDialer.exe

C:\AVERTV2K\QuickTV.exe

C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe

C:\WINDOWS\System32\wbem\unsecapp.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe

C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe

E:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ya.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Ya.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [BDMCon] C:\archiv~1\softwin\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [BDOESRV] "C:\Archivos de programa\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [BDSwitchAgent] C:\archiv~1\softwin\bitdef~1\bdswitch.exe

O4 - HKLM\..\Run: [BDNewsAgent] C:\archiv~1\softwin\bitdef~1\bdnagent.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Update Service] C:\ARCHIV~1\ARCHIV~1\TEKNUM~1\update.exe /startup

O4 - HKCU\..\RunServices: [MS System Security] mswin32.pif

O4 - Startup: Konfabulator.lnk = C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Archivos de programa\Digisoft AntiDialer\AntiDialer.exe

O4 - Global Startup: QuickTV.lnk = C:\AVERTV2K\QuickTV.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[msc hotline sat]

Ante todo faltan parches. Solo tienes hasta el SP1, luego faltan todos los del SP2 mas posteriores, Lanza un windowsupdate para actualizarlos





Luego abre el HJT y selecciona las siguientes claves, y eliminalas con FIX





O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)



O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)



O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL



O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)



O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)



O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)



O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)



O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)





O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender9\vsserv.exe" /service (file missing)



O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)





Ademas hay claves desconocidas y sospechosas, que debe ver si las conoces, y sino, obrar en consecuencia:



O4 - HKCU\..\RunServices: [MS System Security] mswin32.pif



O4 - Startup: Konfabulator.lnk = C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe



O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe



O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Archivos de programa\Digisoft AntiDialer\AntiDialer.exe





O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL



La primera de estas claves podría ser:



http://www.sophos.com/virusinfo/analyses/w32rbotaox.html



Tras todo ello, reinicie y vea si se han solucionado los problemas y nos informa como resùesta de este Tema, gracias





saludos



sm, 28-09-2005

[ferluarca]

Vale, esta noche eliminaré lo que me pides, pero para actualizar con el windowsupdate, ¿Como lo hago si no tengo conexion?

¿Hay algun sitio donde los pueda bajar desde otro ordenador?

Otra cosa, me dices que elimine las entradas del Bitdefender y del Avast, el bitdefender ya lo eliminé todo ayer, pero si quito las del avast, me quedo sin antivirus?

Saludos, y gracias.

[msc hotline sat]

Debes dejar uno de los dos, el que prefieras entre el BitDefender y el Avast, pero no deben coexistir



y voy a indicarte un link para bajar el SP2 por lo menos...



http://www.microsoft.com/en/us/default.aspxspain/technet/recursos/servicepacks.mspx



saludos



ms, 28-09-2005

[ferluarca]

ya te contaré mañana.

Saludos,Fer.

[ferluarca]

Nada, eliminé esas entradas y sigue sin ir bien. El PC funciona perfecto pero no puedo entrar en las paginas web ni enlazar con el servidor de correo.

Te enseño como me quedó el asunto, la entrada 023 del Kerio (Que ya no tengo) no soy quien a quitarla.

¿Que hago, formateo? Porque tampoco puedo reparar, ya te lo comenté ayer.

Saludos.



Logfile of HijackThis v1.99.1

Scan saved at 23:57:15, on 28/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvraidservice.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\wbem\unsecapp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Digisoft AntiDialer\AntiDialer.exe

C:\AVERTV2K\QuickTV.exe

C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe

C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe

C:\Archivos de programa\Alwil Software\Avast4\ashSimpl.exe

E:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ya.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Ya.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice

O4 - HKLM\..\Run: [BDSwitchAgent] C:\archiv~1\softwin\bitdef~1\bdswitch.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Update Service] C:\ARCHIV~1\ARCHIV~1\TEKNUM~1\update.exe /startup

O4 - HKCU\..\RunServices: [MS System Security] mswin32.pif

O4 - Startup: Konfabulator.lnk = C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Archivos de programa\Digisoft AntiDialer\AntiDialer.exe

O4 - Global Startup: QuickTV.lnk = C:\AVERTV2K\QuickTV.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

[admin]

Desactiva todos los servicios de firewall y prueba, si aun asi no va, prueba a bajarte un reparador del LSPFIX automatico, te recomiendo el [url=http://www.zonavirus.com/datos/descargas/199/Winsock_Fix.asp]Winsock Fix[/url] y ya nos cuentas...

[maura63]

Te suenan estas instalaciones, de no conocer elimina



C:\WINDOWS\System32\wbem\unsecapp.exe -



C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe -

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe -

C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe -

C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe -



Despues lanza hijackthis y marcando estas pulsa FIX y acepta.



O4 - HKCU\..\RunServices: [MS System Security] mswin32.pif -

O4 - Startup: Konfabulator.lnk = C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe -

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe -

O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Archivos de programa\Digisoft AntiDialer\AntiDialer.exe -





Saludos

maura63

[msc hotline sat]

Revisado el ultimo log de HJT



Al respecto:



Faltan parches. Tidis los del SP2 y posteriores. Actualiza con windows update !!!



Se deben eliminar estas claves:





O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)



O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)



O23 - Service: Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe (file missing)







Otras claves ya te indiquñe que eran sospechosas, pero esta sobresale a las demas. Mira de enviarnos el fichero MSWIN32.EXE ya que todo apunta a este:



O4 - HKCU\..\RunServices: [MS System Security] mswin32.pif


[quote="sophos"]
section is for technical experts who want to know more.

W32/Rbot-AOX is a worm and IRC backdoor Trojan for the Windows platform.

W32/Rbot-AOX spreads to other network computers by exploiting common buffer overflow vulnerabilities, including: RPC-DCOM (MS04-012), PNP (MS05-039) and ASN.1 (MS04-007).

W32/Rbot-AOX runs continuously in the background, providing a backdoor server which allows a remote intruder to gain access and control over the computer via IRC channels.

When first run W32/Rbot-AOX copies itself to <System>\mswin32.pif.

The following registry entries are created to run mswin32.pif on startup:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MS System Security

mswin32.pif

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

MS System Security

mswin32.pif

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

MS System Security

mswin32.pif

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

MS System Security

mswin32.pif

Registry entries are set as follows:

HKCU\SYSTEM\CurrentControlSet\Control\Lsa

MS System Security

mswin32.pif

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

MS System Security

mswin32.pif

HKCU\Software\Microsoft\OLE

MS System Security

mswin32.pif

HKLM\SOFTWARE\Microsoft\Ole

MS System Security

mswin32


[/quote]





y aparte mira si conoces estas otras, y sino, procede en consecuencia:





O4 - Startup: Konfabulator.lnk = C:\Archivos de programa\Pixoria\Konfabulator\Konfabulator.exe



O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe



O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Archivos de programa\Digisoft AntiDialer\AntiDialer.exe





Pero ya te lo había indicado, solo de digo diferente lo del mswin32.pif , por la descripcion adjunta, y que te pido me encies a zonavirus@satinfo.es anexado a un mail en c¡uyo texto indiques la referencia REF FERLUARCA y te infirmaremos como respuesta de este Tema indicando la utilidad que lo eliminarña, cuando la tengamos disponible.





saludos



ms, 29-09-2005

[ferluarca]

hola Chicos, efectivamente el mswin32.pif es el archivo que me eliminó el antivirus, además de aquella reinicié quitando restaurar sistema y aparentemente desapareció, pero no así sus daños.

Ahora veo gracias a vosotros que aún sigue ahí.

Sobre lo que me comentas de que te envíe por email el archivo mswin32.exe, ¿De donde lo saco?, el archivo infectado era un .pif, que creo recordar que aparecía como un acceso a ms-dos.

Como siempre, mañana os diré algo.

Gracias de antemano. Saludos.

[ferluarca]

Por cierto, una ultima cosa, si quito las entradas del avast, ¿me quedo sin antivirus?, aunque bueno, total, para lo que me sirvió.

Luego las otras dos de objetdock u konfabulator son buenas pues son de programas inofensivos.

La que no llevo camino de eliminar es la del Kerio firewall, que ya no tengo desde hace meses.

Saludos.

[msc hotline sat]

Es que tiene entradas del AVAST activas y otras que no encuentran el fichero al que llaman, y estas (FILE MISSING) son las que le indicamos eliminar al respecto



Otra cosa es que deba dejar un solo antivirus, y entre BitDefender y AVAST, deje solo uno...



saludos



ms, 29-09.-2005

[ferluarca]

Bueno, hice todo lo que me dijisteis, eliminé las entradas, reparé windows xp, pero sigue igual, intento actualizar SP2 y tampoco me deja.

Es más, cuando elimino alguno de los procesos svchost (tengo 4 a la vez funcionando), me sale una pantallita que me da menos de un minuto para guardar todo que tengo para reiniciar ¿?

Es raro, porque tengo instalados los parches del blaster y del otro.

Nada, mañana sabado formateo y me lo cargo todo.

Gracias por el intento, chicos.

Saludos.

[ferluarca]

Al final he formateado, vuelto a instalar todo y va perfecto.

Gracias

[maura63]

Pues no te olvides de actualizar con windows update.



Instalar antivirus residente

Spybot

Ad_aware

Firewall.



Damos por terminado el tema y cerramos.



Saludos

maura63