No se que hacer

samgaz · Mensaje por **samgaz** » 28 Oct 2005, 19:06

Cada vez q arranco el ordenador y pasa un rato el ordenador se empieza a hacer cosas raras y si pulso CTRL+ALT+SUP para visualizar el administrador me aparece en la barra de herramientos pero no se muestra en pantalla. No se que hacer.

Os dejo mi log a ver si encontrais algo:

Gracias.

Logfile of HijackThis v1.99.1

Scan saved at 18:53:29, on 28/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RunDll32.exe

C:\Archivos de Programa\AUNA ADSL\dslstat.exe

C:\Archivos de Programa\AUNA ADSL\dslagent.exe

C:\DVD\AnyDVD\AnyDVD.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\IHSVC.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\WINDOWS\System32\taskmgr.exe

C:\EXTROYAN\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [OemReset] %systemroot%\OPTIONS\OEMRESET.EXE /AUDIT

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\AUNA ADSL\dslstat.exe icon

O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\AUNA ADSL\dslagent.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AnyDVD] C:\DVD\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [Internet Help Svc] IHSVC.EXE

O4 - HKLM\..\RunServices: [Internet Help Svc] IHSVC.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Internet Help Svc] IHSVC.EXE

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\RunServices: [Internet Help Svc] IHSVC.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Descargar TODO con FlashGet - C:\ARCHIV~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar usando FlashGet - C:\ARCHIV~1\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{03F410F0-2450-42F5-824C-BFE3A62225BF}: NameServer = 62.81.16.129 62.81.0.33

O17 - HKLM\System\CS1\Services\Tcpip\..\{03F410F0-2450-42F5-824C-BFE3A62225BF}: NameServer = 62.81.16.129 62.81.0.33

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Mensaje por **msc hotline sat** » 28 Oct 2005, 19:37

Hay ciatri claves de carga del proceso IHSVC.EXE, que no es conocido y este sistema de repetidas cargas es muy propio de virus.

Sugiero moverlo a una carpeta de cuarentena y apagar el ordenador para que en el siguiente reinicio no pueda ponerse en memoria.

Nos lo envian entonces anexado a un mail a zonavirus@satinfo.es indicandop como referencia REF IHSVC y tras examinarlo ya lo implantaremos si procede en una herarmienta de eliminacion de claves y ficherios correspondientes, pero de momento estarña fuera de circulacion, y si fuera una falsa alarma, nada mas facil que volverlo a copiar a la carpeta de sistema, donde está actualmente:

C:\WINDOWS\System32\IHSVC.EXE

Por otra parte debes lanzar el HJT y marcar y eliminar con FIX estas claves:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)

Las dos primeras corresponden al adware ALEXA y la ultima no encuentra el fichero al que llama la clave, por lo cual debe eliminarse

Tras ello, reinicia y comprueba los resultados, y nos envias el fichero en cueston y te contestaremos como respuesta de este Tema

saludos

ms, 28-10-2005

samgaz · Mensaje por **samgaz** » 28 Oct 2005, 19:54

El problema es que el archivo IHSVC.EXE no está en ningun lado ni siquiera en la carpeta SYSTEM32, ni como archivo oculto, simplemente no aparece.

Mensaje por **msc hotline sat** » 28 Oct 2005, 20:18

De estar, estña, porque lo tienes en proceso.

Arranca en modo seguro para que no se ponga en marcha, pues igual su proceso lo oculta

Y entonces lo mueves y tras reiniciar nos lo envias.

saludos

ms, 28-10-2005

samgaz · Mensaje por **samgaz** » 28 Oct 2005, 20:44

Disculpa mi ignorancia pero como se inicia en modo seguro?

Mensaje por **msc hotline sat** » 28 Oct 2005, 20:45

Si, claro :

https://foros.zonavirus.com/viewtopic.php?t=5266

saludos

ms, 28-10-2005

Mensaje por **msc hotline sat** » 02 Nov 2005, 17:50

Recibida muestra del fichero IHSVC.EXE , corresponmde a una variante del SDBOT, que hemos implementado su eliminacion y contril el la nueva version del ELITRIIP que ya hemos subido a esta web:

---v1.74---( 2 de Noviembre del 2005) (Muestra de SdBot.worm.gen.Q "IHSVC.EXE" y Mira valores comunes en "Run" y "RunServices")

Puede probarla y comentarnos el resultado bajandola de esta web desde ahora mismo.

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

saludos

ms, 2-11-2005