Ayuda urgente x favor!!!!! * (SOLUCIONADO)

samy · Mensaje por **samy** » 15 Sep 2005, 17:00

hola a todos, necesito vuestra ayuda, estado una temporada fuera y mi ordenador le han estado utilizando mis familiares, total q se caduco el antivirus y les ha dado igual q han estado navegando x internet como si nada, hasta q el ordenador le empezo a fallar todo, mira os comento un poco me conecto a internet y se me desconecta al ratito, despues compre antivirus y le pase y me saco 32 virus, pero hay no queda todo es q como sigue mal le pase el microsoft antyspaware y me saco algo mas de 60 spyware, y cada vez q le paso me saca alguno mas y eso q ya tengo el antivirus instalado, bueno otra de las cosas q me pasa es q procesos del sistema tengo este proceso ( svchost.exe,) y esta como 5 veces y ocupa muchas kb, y probe a darle finalizar proceso ( ya que me salen procesos muy raros) y en uno de ellos segun le di a cancelar me salio la pantalla del virus sasser, pero no consigo quitarle. por favor ayudarme pues ya no se q mas hacer, estoy desesperada.

muchas gracias de antemano.

Mensaje por **msc hotline sat** » 15 Sep 2005, 17:17

Pues siga los tutoriales de antivirus y spywares, empezando por actualizar los parches de microsoft lanzando un windowsupdate, y si cree tener el Sasser, descargue y pruebe el ELITRIIP.EXE

https://foros.zonavirus.com/viewtopic.php?t=5370

https://foros.zonavirus.com/viewtopic.php?t=4795

Con el antivirus y los antispywares que le indicamos en los tutoriales, arrancando en modo seguro y lanzandolos, debe poder eliminar todos los virus y troyanos conocidos, y de los desconocidos, ya hablaremos si es el caso.

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

si bien lo que indica del Sasser, si se refiere al shutdown de reinicio en 60 segundos, eso no es del Sasser ni del Blaster sino del windows ante un ERROR de proceso, como los que provocan dichos virus, o el detener un proceso activo del sistema en memoria, que puede ser el caso de cerrar cualquier tarea lanzada por el SVCHOST, de los que puede y debe haber varios activos pues son las tareas lanzadas por windows, aunque pueda haberlas con el mismo nombre o parecido que sean viricas, las dl mismo nombre lanzadas desde otra carpeta (no la de sistema) u con un nombre parecido desde la misma carpeta de sistema, intentando pasar desapercibidas, como SVHOST, SCVHOST, etc en lugar de SVCHOST

Si quiere, tambien puede lanzar un antivirus ONLINE para salir de dudas sobre ello:

https://www.virustotal.com/es/

saludos

ms, 15-09-2005

La marmota · Mensaje por **La marmota** » 17 Sep 2005, 19:50

Prueba a pasar un antivirus online, no te lo quitará pero te dirá esactamente que es. Despues busca la solución. En telefonica.net hay uno muy bueno. Panda también tiene en su página. Espero que te sirva de algo]

samy · Mensaje por **samy** » 19 Sep 2005, 16:33

Ante todo gracias a los dos, pero os queria consultar otra cosita, puede ser tambien un virus, q tengo puesto para q no me salgan las ventanas con publicidad, y llevaba mucho sin q me salieran pero ahora con la misma barra puesta me salen un monton de ellas, una de las q me salen y me suelen salir muxisimo es un q es de un programa o algo asi q se llama winfixer 2005, y aunque le des a cerrar se empieza a descargar, la verdad es algo muy raro, y otra cosa extraña q he visto es q cuando apago el ordenador me sale un error del sistema q pone window~1 y pone un error dll sabeis si puede ser de un virus. Sigo haciendo vuestros pasos en cuanto lo consiga os contesto ok?

muchas gracias.

Mensaje por **maura63** » 19 Sep 2005, 16:36

En los links ofrecidos anteriormente tienes tanto antivirus como antispyware.

Sigue los pasos.

Saludos

maura63

Mensaje por **msc hotline sat** » 19 Sep 2005, 16:45

Aclaro, el Winfix 2005 es una utilidad, no un malware:

http://www.winfixer.com/

saludos

ms, 19-09-2005

samy · Mensaje por **samy** » 20 Sep 2005, 15:44

mira os paso mi log para ver si veis algo extraño ok?

gracias de nuevo.

Logfile of HijackThis v1.99.1

Scan saved at 15:40:51, on 20/09/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WXPLAURA\System32\smss.exe

C:\WXPLAURA\SYSTEM32\winlogon.exe

C:\WXPLAURA\system32\services.exe

C:\WXPLAURA\system32\lsass.exe

C:\WXPLAURA\system32\svchost.exe

C:\WXPLAURA\System32\svchost.exe

C:\WXPLAURA\system32\spoolsv.exe

C:\WXPLAURA\Explorer.EXE

C:\WXPLAURA\System32\CTSvcCDA.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WXPLAURA\System32\nvsvc32.exe

C:\WXPLAURA\system32\slserv.exe

C:\WXPLAURA\system32\slserv.exe

C:\WXPLAURA\System32\snmp.exe

C:\WXPLAURA\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WXPLAURA\System32\mqsvc.exe

C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

C:\WXPLAURA\TBPanel.exe

C:\Archivos de programa\Real\RealPlayer\RealPlay.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 5\DataLayer.exe

C:\Archivos de programa\Archivos comunes\Nokia\NCLTools\NclTray.exe

C:\WXPLAURA\System32\mqtgsvc.exe

C:\WXPLAURA\System32\wfxsnt40.exe

C:\Archivos de programa\Creative\ShareDLL\MediaDet.Exe

C:\Archivos de programa\Softwin\BitDefender8\bdoesrv.exe

C:\Archivos de programa\Archivos comunes\Nokia\Services\ServiceLayer.exe

C:\Archivos de programa\Softwin\BitDefender8\bdnagent.exe

C:\Archivos de programa\Softwin\BitDefender8\bdswitch.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\WXPLAURA\sllights.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\Archivos de programa\Softwin\BitDefender8\vsserv.exe

c:\archivos de programa\softwin\bitdefender8\bdmcon.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\LAURAC~1\CONFIG~1\Temp\Rar$EX00.344\HijackThis.exe

C:\Archivos de programa\MSN Apps\Updater\01.05.0000.1009\es\msnappau.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.wazzupnet.com"); (C:\Archivos de programa\Netscape\Users\default\prefs.js)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Internet Explorer Web Content Guard - {1B77D30A-81C9-497A-8647-142F7511B1FB} - C:\WXPLAURA\System32\IEGuard1.dll

O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - (no file)

O2 - BHO: IEHelper Class - {6C371814-7DAB-11D4-9AE3-00A0CC68F32A} - C:\WXPLAURA\System32\palb2022.dll

O2 - BHO: (no name) - {70663046-7B0E-386C-9A69-B27538F33F8C} - C:\Archivos de programa\drvi\xikbbivpyg.dll (file missing)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WXPLAURA\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [NewsUpd] C:\Archivos de programa\Creative\News\NewsUpd.EXE /q

O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [Gainward] C:\WXPLAURA\TBPanel.exe /A

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [RealTray] C:\Archivos de programa\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Nokia\Nokia PC Suite 5\DataLayer.exe

O4 - HKLM\..\Run: [Nokia Tray Application] C:\Archivos de programa\Archivos comunes\Nokia\NCLTools\NclTray.exe

O4 - HKLM\..\Run: [gaSrve] C:\WXPLAURA\gaSrve.exe

O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe

O4 - HKLM\..\Run: [Yaxshoq] C:\Program Files\Loxnyy\Cdybfs.exe

O4 - HKLM\..\Run: [JLMlV4v] C:\WXPLAURA\vrsglix.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [JLMlV÷h$âÅõö/ØF%)ßC:\Archivos de programa\ISTsvc\istsvc.exe] C:\WXPLAURA\vrsglix.exe

O4 - HKLM\..\Run: [BDMCon] C:\Archivos de programa\Softwin\BitDefender8\\bdmcon.exe

O4 - HKLM\..\Run: [BDOESRV] C:\Archivos de programa\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [BDNewsAgent] C:\Archivos de programa\Softwin\BitDefender8\\bdnagent.exe

O4 - HKLM\..\Run: [BDSwitchAgent] C:\Archivos de programa\Softwin\BitDefender8\\bdswitch.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [McAfee Instant Update Monitor] "C:\Archivos de programa\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000

O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.ysbweb.com (HKLM)

O15 - Trusted IP range: 213.159.117.202 (HKLM)

O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1053352830904

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127139255671

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-es/es/games1.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A4F9DED5-149D-4666-A7C8-93D1F890317F}: NameServer = 62.36.225.150 62.37.228.20

O20 - Winlogon Notify: -goomujrm - C:\WXPLAURA\System32\mxgoom.dll (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WXPLAURA\System32\CTSvcCDA.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WXPLAURA\System32\ImapiRox.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WXPLAURA\System32\nvsvc32.exe

O23 - Service: SL Service (SlServ) - - C:\WXPLAURA\SYSTEM32\slserv.exe

O23 - Service: SmartLinkService (SLService) - - C:\WXPLAURA\SYSTEM32\slserv.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Archivos de programa\Softwin\BitDefender8\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

un saludo

Mensaje por **maura63** » 20 Sep 2005, 16:14

Lo pricipal es que por no tener no tienes ni tan siquiera el SP1

INSTALACION DEL SP1 PARA PODER INSTALAR SP2:

http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx

(SE DEBE ESCOGER IDIOMA...)

Luego conecta via windows update y actualiza, antes usa estas dos utilidades

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/datos/descargas/78/EliStarA.as

[color=blue]Despues de pasar antivirus, antispyware y las dos utilidades comprueba que no queden estas entradas[/color].

Conoces esta aplicacion, de no conocer elimina

C:\WXPLAURA\sllights.exe -

lanza hijackthis, pulsa scan marcas estas entradas y pulsa FIX, acepta.

O2 - BHO: Internet Explorer Web Content Guard - {1B77D30A-81C9-497A-8647-142F7511B1FB} - C:\WXPLAURA\System32\IEGuard1.dll -

O2 - BHO: IEHelper Class - {6C371814-7DAB-11D4-9AE3-00A0CC68F32A} - C:\WXPLAURA\System32\palb2022.dll - Unknown

O2 - BHO: (no name) - {70663046-7B0E-386C-9A69-B27538F33F8C} - C:\Archivos de programa\drvi\xikbbivpyg.dll (file missing) -

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll -

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll -

O4 - HKLM\..\Run: [gaSrve] C:\WXPLAURA\gaSrve.exe -

O4 - HKLM\..\Run: [Yaxshoq] C:\Program Files\Loxnyy\Cdybfs.exe -

O4 - HKLM\..\Run: [JLMlV4v] C:\WXPLAURA\vrsglix.exe -

O4 - HKLM\..\Run: [JLMlV÷h$âÅõö/ØF%)ßC:\Archivos de programa\ISTsvc\istsvc.exe] C:\WXPLAURA\vrsglix.exe -

O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es -

O15 - Trusted Zone: *.iframedollars.biz (HKLM) -

O15 - Trusted Zone: *.slotchbar.com (HKLM) -

O15 - Trusted Zone: *.ysbweb.com (HKLM) -

O15 - Trusted IP range: 213.159.117.202 (HKLM) -

O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe -

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab -

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab -

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab -

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-es/es/games1.cab -

O20 - Winlogon Notify: -goomujrm - C:\WXPLAURA\System32\mxgoom.dll (file missing) - UnknownO20 - Winlogon Notify: -goomujrm - C:\WXPLAURA\System32\mxgoom.dll (file missing) -

Saludos

maura63

Mensaje por **msc hotline sat** » 20 Sep 2005, 16:22

Saltan a la vista muchas claves que demuestrasn no haber seguido los pasos indicados en:

https://foros.zonavirus.com/viewtopic.php?t=5148

Y entre llas, las utilidades indicadas por maura63.

Tras ello, si detectas anomalías,m indicanos cuales y postea nuebo log de HJT para eliminar restos, pero antes debes eliminar lo que detecten los antivirus y antispywares ya que sino quedarñian claves perdidas en el registro, que no aparecen en el log del HJT y que serñian de dificil deteccion y eliminacion

saludos

ms, 20-09-2005

samy · Mensaje por **samy** » 23 Sep 2005, 10:48

Hola de nuevo, ya echo los pasos q me mandabais, he actualizado el sp1, he pasado el elistara y el elittrip, ninguno de los dos me han sacado nada, y cuando he ido a pasar el antivirus on line q me mandabais me ha sacado el siguiente virus, Win32.Rbot.BUY, no me deja ni eliminarle ni nada, estado mirando haber si encontraba informacion sobre el y no encuentro nada me podeis ayudar??

muchas gracias.

Mensaje por **msc hotline sat** » 23 Sep 2005, 13:21

Los RBOT, tambien llamados SDBOT son una familia de miles de variantes que se propagan por recursos compartidos o comparticiones administrativas, segun sistema, y por P2P o por exploits a vulnerabilidades de windows no parcheadas. como las muy conocidas RPCDCOM y LSASS, y ultimamente la MS05.039, y que su prioncipal mision es ser un backdoor de IRC.

La descripcion generica es, segun VSantivirus:

http://www.vsantivirus.com/rbot.htm

y con el nombre que tengan previsto cada uno, los que lo detecten lo podrán eliminar arrancando en modo seguro y deshanilitando la restauracion de sistema si se usa XP y lanzando dicho antivirus en tal modo.

SObre todo actualice su antivirus, pues cada día aparecen de promedio unos 50 bichos nuevos, que van siendo controlados con las actualizaciones diarias.

Si tiene algun problema con lo indicado, envienos muestra del fichero qye el antivirus detecta infectado con este virus a zonavirus@satinfo.es anexado a un mail en cuyo texto indique la referencia "REF RBOTBUY" y tras analizarlo lo incluiremos en alguna de nuestras utilidades de eliminaciuon, probablemente en ELITRIIP, de lo que ya le inforaremos como resùesta de este Tema

saludos

ms, 23-09-2005

samy · Mensaje por **samy** » 23 Sep 2005, 14:18

Ante todo gracias x tu ayuda, solo queria hacerte una pregunta mi antivirus esta actualizado, le paso y no me detecta nada, el antivirus q me lo detecta es el q me dijisteis vosotros, mi pregunta es en modo seguro puede pasarle ese antivirus q vosotros me recomendasteis??

Mil gracias

Mensaje por **maura63** » 23 Sep 2005, 15:46

Al usar XP puedes pasar el antivirus online en modo seguro con funciones de red pero siempre que tu conexion a internet sea [color=darkblue]ADSL via router o cable moden[/color].

Si es via dispositivo USB no.

Saludos

maura63

Mensaje por **msc hotline sat** » 23 Sep 2005, 18:24

Cualquier antivirus actualizado debería detectarlo, pero actualizado a la ultima hora, ya que los ONLINE la gran ventaja es que lo estan al ultimo minuto.

Pero si no tienes router o cabe modem y no puedes navegar en modo seguro con funciones de red, como muy bien te ha indicado maura63, envianos el fichero y te lo solucionaremos con una utilidad de eliminacion especifica.

saludos

ms, 23-09-2005

~~[b]~~NOTA: Y RECUERDA [/b]

https://foros.zonavirus.com/viewtopic.php?t=1307

samy · Mensaje por **samy** » 04 Oct 2005, 17:21

Hola de nuevo, decirme q es exactamente lo q os tengo q enviar del virus, para q lo analiceis, mira te pongo todo lo q me sale y me decis q es lo q os mando ok??

archivo infeccion ruta

idrtt.exe win32.Aphid.A d:\windows\system32\

TFTP3692 win32.Rbot.BUY d:\windows\system32\

eso es todo lo q me sale, ya tengo todos los parches de windows actualizados al sp2 pero estos dos virus no consigo quitarles de ninguna forma.

espero vuestra respuesta

Un saludo

Mensaje por **maura63** » 04 Oct 2005, 17:25

Busca este archivo [color=red]idrtt.exe [/color] y lo mandas a

zonavirus@satinfo.es ponle como referencia REFIDRTT.exe

Te contestaran como respuesta a este tema.

Saludos

maura63

samy · Mensaje por **samy** » 04 Oct 2005, 18:06

Hola Maura, estado buscando el dichoso archivo para enviarosle y no le encuentro por ningun lado, incluso le he dado a buscar para q me buscara en todo mi pc y me dice q no ha encontrado nada por q puede ser??

mil gracias

Mensaje por **maura63** » 04 Oct 2005, 18:07

Comprueba que se muestren archivos y carpetas ocultos.

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

Saludos

maura63

samy · Mensaje por **samy** » 04 Oct 2005, 18:22

Estado mirando lo q me pones, y lo tenia puesto como tu me dices, lo he vuelto a buscar por si acaso y nada, no me aparece por ningun lado es raro no??

Mensaje por **maura63** » 04 Oct 2005, 18:47

Vuelve a pegarnos un log de hijackthis.

Saludos

maura63

samy · Mensaje por **samy** » 04 Oct 2005, 19:13

Te paso mi log

Logfile of HijackThis v1.99.1

Scan saved at 19:12:31, on 04/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\SYSTEM32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\MSSQL7\binn\sqlservr.exe

D:\WINDOWS\System32\svchost.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

D:\WINDOWS\Explorer.EXE

D:\Archivos de programa\Softwin\BitDefender8\bdoesrv.exe

D:\archivos de programa\softwin\bitdefender8\bdnagent.exe

D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

D:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

D:\WINDOWS\system32\ctfmon.exe

D:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

D:\MSSQL7\Binn\sqlmangr.exe

D:\Archivos de programa\OKI OKIOFFICE 86\Mfstmon.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

d:\archiv~1\intern~1\iexplore.exe

D:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

D:\WINDOWS\system32\wuauclt.exe

D:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE

d:\docume~1\luisma\datosd~1\coolma~1\32 cake mail.exe

d:\archiv~1\intern~1\iexplore.exe

D:\WINDOWS\system32\ldrtt.exe

G:\eMule\emule.exe

D:\Archivos de programa\Internet Explorer\iexplore.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

D:\Archivos de programa\Softwin\BitDefender8\vsserv.exe

d:\archiv~1\softwin\bitdef~1\bdmcon.exe

D:\Documents and Settings\Luisma\Escritorio\dl-net\DLNet.exe

C:\Archivos de programa\Direcline\DL-Trans.exe

D:\Archivos de programa\WinRAR\WinRAR.exe

D:\DOCUME~1\Luisma\CONFIG~1\Temp\Rar$EX00.807\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [CapFax] D:\Archivos de programa\Classic PhoneTools\CapFax.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [BDMCon] d:\ARCHIV~1\softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDOESRV] D:\Archivos de programa\Softwin\BitDefender8\\bdoesrv.exe

O4 - HKLM\..\Run: [BDNewsAgent] d:\archivos de programa\softwin\bitdefender8\bdnagent.exe

O4 - HKLM\..\Run: [gcasServ] "D:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [For Bows Once Find] D:\Documents and Settings\All Users\Datos de programa\htm about for bows\Remote nurb.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [MsnMsgr] "D:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [fast tick] D:\DOCUME~1\Luisma\DATOSD~1\COOLMA~1\ClockDead.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Service Manager.lnk = D:\MSSQL7\Binn\sqlmangr.exe

O4 - Global Startup: Status monitor.lnk = D:\Archivos de programa\OKI OKIOFFICE 86\Mfstmon.exe

O8 - Extra context menu item: &Búsqueda en Google - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://D:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe

O15 - Trusted IP range: http://213.27.175.32

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120211477188

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1959D88B-2422-4CF0-B6E2-8984D8135CFA}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C67FBEA-1A41-429E-8B9A-DBC96A25D4E5}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{1959D88B-2422-4CF0-B6E2-8984D8135CFA}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - D:\Archivos de programa\Softwin\BitDefender8\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

Mensaje por **maura63** » 05 Oct 2005, 10:31

Conoces algo de esto, de no ser asi eliminalos

d:\docume~1\luisma\datosd~1\coolma~1\32 cake mail.exe -

D:\WINDOWS\system32\ldrtt.exe -

D:\Documents and Settings\Luisma\Escritorio\dl-net\DLNet.exe -

C:\Archivos de programa\Direcline\DL-Trans.exe -

O4 - HKLM\..\Run: [For Bows Once Find] D:\Documents and Settings\All Users\Datos de programa\htm about for bows\Remote nurb.exe -

O4 - HKCU\..\Run: [fast tick] D:\DOCUME~1\Luisma\DATOSD~1\COOLMA~1\ClockDead.exe -

O4 - Global Startup: Consola KIT ADSL.lnk = ? - Unknown

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing) -

Saludos

maura63

samy · Mensaje por **samy** » 05 Oct 2005, 11:19

Hola maura, mira te comento he eliminado las entradas q me decias q si no conocia q las borrara, las q ponen direcline y dl trans, son programas de la empresa, pero cuando he ido a buscar uno de los archivos q me dices q borre ( q casualmente es el q me detecta el antivirus on line) es el archivo idrtt.exe pero lo raro es q cuando le voy a buscar para mandarosle por e-mail no le encuentro por ningun lado, y luego otra cosilla el archivo q me decias q borrara q ponia collm.32 o algo asi, he ido a buscarle en la carpeta donde se ubica y me encontrado con unos archivos muy sospechosos y cuando he abierto la carpeta donde estan los archivos mi antivirus me ha puesto unas alertas de troyano con el nombre de cada archivo q hay dentro de tal carpeta, te voy a dar los nombres de los archivos haber si les conoces, la ubicacion es d:\documentandsetting\luisma\datosdeprograma\coolmagmore\..

y dentro de tal carpeta hay estos archivos

32cake mail.exe

clockdead.exe

mgsgjraq.exe

thksffop.exe

yivnekil.exe

y luego hay otro q es un archivo de sistema y se llama EAC85958 y ocupa 2kb

y tambien te pongo el mensaje q me da el antivirus, me pone infectado con: Trojan.downloader.Swizzor.CB

espero te sirva de algo

Mensaje por **maura63** » 05 Oct 2005, 11:25

Si tu antivirus te los detecta, procede asi:

desactiva la restauracion del sistema, para ello descarga esta utilidad

( Solo sistemas XP ) Desactivar restauracion del sistema

http://www.zonavirus.com/descargas/srestore.asp

la ejecutas, apaga el equipo y al encender de nuevo pulsa repetidas veces la tecla F8

y selecciona modo seguro.

Lanza tu antivirus y limpia, pasa tambien estas dos utilidades

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Despues comprueba el resultado.

Saludos

maura63

samy · Mensaje por **samy** » 05 Oct 2005, 11:53

Hola maura, no me deja descargar ni el elitrip ni el elistara, le doy al enlace q me has puesto me sale para q descargue le doy a descargar y me sale una ventana muy pequeña q no puedo maximizar y dentro de la pagina pequeñita me viene exactamente lo mismo q en la otra donde me has mandado le vuelvo a dar moviendo el contenido con el raton y no me sale nada, me pasa con los q me has mandado por q puede ser??

Mensaje por **maura63** » 05 Oct 2005, 12:10

Entra en http://www.zonavirus.com en la parte superior derecha veras panel de control, pincha y te registras con el mismo nick y paswoord que usas aqui e intenta la descarga.

Saludos

maura63

samy · Mensaje por **samy** » 05 Oct 2005, 12:45

nada me sigue pasando lo mismo, me sale la ventanita pequeña, y no me deja hacer nada mas, otras veces si q he podido descargar herramientas de esta pagina, ahora no se por q me pasa esto, q mas puedo hacer??

Mensaje por **maura63** » 05 Oct 2005, 12:57

He pasado nota a Admin, elistara si descarga pero por ejemplo ELITRIP NO BAJA.

Saludos

maura63

Mensaje por **msc hotline sat** » 28 Oct 2005, 07:08

Solucionado el, problema en su momento, se entiende se solucionó y se cierra el Tema en consecuencia

(Ha aparecido como nuevo mensaje desde la ultima visita de ayer 27-10-2005 ????)

saludos

ms,28-10-2005

Ayuda urgente x favor!!!!! * (SOLUCIONADO)

Ayuda urgente x favor!!!!! * (SOLUCIONADO)

Re: Ayuda urgente x favor!!!!!