-
mireia
- Mensajes: 4
- Registrado: 07 Oct 2005, 10:53
Mensaje
por mireia » 07 Oct 2005, 10:59
Buenos dias,
El ordenador me ha detectado una infeccion (nvsvc32.exe. Gaobat.worm.gen.E) y no me lo quita le he pasado el Hijackthis y el log es el siguiente:
Logfile of HijackThis v1.99.1
Scan saved at 10:36:02, on 07/10/05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\Archivos de programa\Microsoft Office\Office\EXCEL.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Amaia\Mis documentos\EliTriIP.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128673002875
O17 - HKLM\System\CCS\Services\Tcpip\..\{12106323-E862-41C5-8CF5-B474D9B2FA66}: NameServer = 80.58.0.33,80.58.32.97
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Y luego me dice tambien que el parche MSO4-011 lo tengo desactivado, como activo los parches? Saludos
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 07 Oct 2005, 11:07
Pasa estas dos utilidades
UTILIDADES
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Despues conecta con windows update y actualiza para instalar los parches que te falten.
Saludos
maura63
-
mireia
- Mensajes: 4
- Registrado: 07 Oct 2005, 10:53
Mensaje
por mireia » 07 Oct 2005, 11:50
Ya he pasado el ElistarA y no me detecta nada en cambio al pasar elitrip me detecta una infeccion que no me lo puede quitar "nvsvc32.exe->Gaobot.worm.gen.E" y me dice que el parche MS04-011 no esta instalado, voy a update windows lo actualizo y el parche sigue sin aparecer, donde aparece lo del parche? Te envio el log que me ha salido con el elitrip
Thu Oct 06 17:18:53 2005
EliTriIP v1.66 (c)2005 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
No detectado Parche MS04-011 de Microsoft instalado.
No detectado Parche MS04-012 de Microsoft instalado.
Thu Oct 06 17:42:33 2005
EliStartPage v10.39 (c)2005 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
C:\GrupoSP\COP04R02\MODELOS\M347\347PDF.EXE --> Eliminado, IamBigbro
Fri Oct 07 10:20:11 2005
EliTriIP v1.67 (c)2005 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
No detectado Parche MS04-011 de Microsoft instalado.
No detectado Parche MS04-012 de Microsoft instalado.
Fri Oct 07 11:40:27 2005
EliTriIP v1.62 (c)2005 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones:
Por favor, envienos una muestra del fichero
C:\DOCUME~1\AMAIA\CONFIG~1\TEMP\DWWIN.EXE.Muestra EliTriIP v1.62
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DWWIN.EXE --> Eliminado
No detectado Parche MS04-011 de Microsoft instalado.
No detectado Parche MS04-012 de Microsoft instalado.
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 07 Oct 2005, 12:03
Descargalos de
http://www.microsoft.com/en/us/default.aspxspain/technet/seguridad/boletines/MS04-011-IT.asp
http://www.microsoft.com/en/us/default.aspxspain/technet/seguridad/boletines/ms04-012-it.asp
[color=red]Ojo ¡¡¡¡¡ selecciona sistema operativo e idioma.[/color]
Saludos
maura63
-
mireia
- Mensajes: 4
- Registrado: 07 Oct 2005, 10:53
Mensaje
por mireia » 07 Oct 2005, 15:59
He descargado de los sitios que me has dicho y me aparece lo siguiente "el programa de instalacion detecto que la version de service pack de sistema es mas reciente que la actualizacion que esta aplicando. No es necesario instalar esta actualizacion.
Despues he ejecutado de nuevo Elitriip y primero me pregunta " desea bloquear el intento de intrusion por el TCP445? yo le he dado que no y de nuevo me sale lo mismo que no ha detectado parche MS04-011 y que tengo una infeccion "nvsvc32.exe->gaobaot.worm.gen.E" que no la puede eliminar.
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 07 Oct 2005, 16:11
Pasa tu antivirus arrancnado en modo seguro y desactiva la restauracion del sistema antes.
Para confrontar resultados pasa este online
· Computer Associates
https://www.virustotal.com/es/
Saludos
maura63
-
mireia
- Mensajes: 4
- Registrado: 07 Oct 2005, 10:53
Mensaje
por mireia » 07 Oct 2005, 16:21
Que es desactivar la restauracion del sistema? Como se hace?
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 07 Oct 2005, 16:31
Sigue estos pasos
https://foros.zonavirus.com/viewtopic.php?t=5266
Saludos
maura63
-
flacoroo
- Mensajes: 6289
- Registrado: 09 Mar 2004, 20:32
- Ubicación: Paso del Macho,Ver.México
