Mensajes de antivirus varios!

guillermus · Mensaje por **guillermus** » 16 Oct 2005, 22:30

Bueno les cuento instale el windows XP sp2 . COn el NOd32 con su ultima actualizacion.. me conecto a internet y el NOD32 me tiro varios mensajes que de virus.. entre ellos, IELower, georgebeast, y uno en particular el re11 o rec11 que hace que se cierre el antivirus.. Tambien note que hay una aplicacion que se llama windowsp que cuando esta activano me permite navegar por internet.. alguien podria ayudarme? .. por favor es urgente hace 3 dias que estoy sin pc. y tengo que terminar un trabajo.. me decidi a instalar todo desde cero y me atasque en esto..

muchas gracias,

guillermus · Mensaje por **guillermus** » 16 Oct 2005, 23:21

cuando quiero actualizar windos., por los agujeros de seguridad.. el WIndowsupdate me dice esto:

[Número de error: 0x8007041D]

El sitio Web ha encontrado un problema y no puede mostrar la página que intenta ver. Las opciones que se indican a continuación pueden ayudarle a solucionar el problema.

guillermus · Mensaje por **guillermus** » 16 Oct 2005, 23:23

aca esta el hijack.. please respondanme algo :(

Logfile of HijackThis v1.99.1

Scan saved at 18:22:20, on 16/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\dllhost.exe

C:\Archivos de programa\ESET\nod32kui.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\Documents and Settings\jose\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-80U\ADSL\CnxDslTb.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Microsoft Update 32] windowsp.exe

O4 - HKLM\..\Run: [OS Security] mswind32.pif

O4 - HKLM\..\RunServices: [Microsoft Update 32] windowsp.exe

O4 - HKLM\..\RunServices: [OS Security] mswind32.pif

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [OS Security] mswind32.pif

O4 - HKCU\..\RunServices: [OS Security] mswind32.pif

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129494694218

O17 - HKLM\System\CCS\Services\Tcpip\..\{1AFCF642-E194-4764-A338-9A6DD2480A29}: NameServer = 200.42.12.227 200.42.0.109

O17 - HKLM\System\CS1\Services\Tcpip\..\{1AFCF642-E194-4764-A338-9A6DD2480A29}: NameServer = 200.42.12.227 200.42.0.109

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

guillermus · Mensaje por **guillermus** » 17 Oct 2005, 05:05

por favor aunque sea diganme que no pueden ayudarme y le pago a un tecnico, pero estoy deseperado el problema que tengo ahora es que navego un rato en internet, y se corta la conexion, osea figura como conectado y las maquinas a las que yo les comparto internet siguen teniendo pero yo en esta no, ie no encuentra ninguna pagiuna... please helpme!!!

Mensaje por **msc hotline sat** » 17 Oct 2005, 06:01

El que tenga estas cuatro claves de RUN y RUN SERVICES en KHLM y HKCU lanzando el mismo fichero es muy sospechoso:

O4 - HKLM\..\Run: [OS Security] mswind32.pif

O4 - HKLM\..\RunServices: [OS Security] mswind32.p

O4 - HKCU\..\Run: [OS Security] mswind32.pif

O4 - HKCU\..\RunServices: [OS Security] mswind32.pif

Mientras miro al respecto, si no conoce esta aplicacion, elimine estas claves y reinicie, y nos cuenta el resultado como respuesta de este Tema, gracias

saludos

ms, 17-10-2005

guillermus · Mensaje por **guillermus** » 17 Oct 2005, 06:10

bueno te comento.. inicie en modo seguro, desactive lo de restaurar sistema.. corri el hijack borre las dos claves.. inicio windows y ese mswind32 sigue apareciendo como proceso.. miro internet y no tengo.. abro de nuevo el administrador de procesos, termino el proceso de ese mswind32. y ZAS tengo internet, el problema es como hago para que no vuelvan a aparecer.

Mensaje por **msc hotline sat** » 17 Oct 2005, 06:12

No he encontrado informacion de la anterior, pero si de otra que rambien debe elimnar las claves siguientes

O4 - HKLM\..\Run: [Microsoft Update 32] windowsp.exe

O4 - HKLM\..\RunServices: [Microsoft Update 32] windowsp.exe

que tambien está lanzada desde RUN y RUN SERVICES, y además hay la siguiente informacion:

http://www.bleepingcomputer.com/startups/windowsp.exe-11714.html

Tras eliminarla reinicie y vea si se ha solucionado el problema

saludos

ms, 17-10-2005

Nota, si los ficheros qie lanzan estas 6 claves (windowsp.exe y mswind32.pif ) nos los envia a zonavirus@satinfo.es como muestras de nuevos virus, los analizaremos e implementaremos en nuestras utilidades de eliminacion, gracias. (luego elimine estos ficheros) ms.

Mensaje por **msc hotline sat** » 17 Oct 2005, 06:33

Antes no ví tu uñtimo post: Mueve estos ficheros a otra carpeta o renombralos y apaga. Cuando arranques de nuevo ya no los encontrará y no los podrá lanzar, y podrás eliminar dichas claves

saludos

ms, 17-10-2005

guillermus · Mensaje por **guillermus** » 17 Oct 2005, 06:56

como renombro los ficheros'? son arichivos que estan en algun lado.. o voy a "RUN" en el registro y ahi los cambio?=

saludos

y disculpa mi ignorancia

guillermus · Mensaje por **guillermus** » 17 Oct 2005, 07:02

el unico archivo que enconbtre con ese nombre estaba aca: C:\WINDOWS\Prefetch\MSWIND32.PIF-275F69C9.pf

borro eso? o voy a "run" en el registro?

Mensaje por **msc hotline sat** » 17 Oct 2005, 07:10

No los .PF no son ejecutables, solo son complementario.

Configura el ordenador para que puedas ver todos los ficheros, incluidos los de sistema, pues es probable que se escondan con atributos H, S, R...

Luego haz un inicio-buscar y mejor para ello arranca en modo seguro.

saludos

ms, 17-10-2005

Mensajes de antivirus varios!

Mensajes de antivirus varios!

otra cosa

hijack

POR FAVOR!!!!

correecto

a ver

..