Bueno, este es el 7º formateo... Y en unas pocas horas la conexión me irá mucho peor que las antiguas de 56k... Os cuento con la esperanza de que me podais ayudar.. Porque no se que hacer y lo agradecería eternamente.
Mi pc portátil tenía instalado el Mcafee, y con la conexión a internet de mi antigua casa no tuve ningún problema... Hasta que cambie domicilio, no entiendo porque pero con la conexión de ONO (supongo que no tiene que ver...) Me entró el sasser... Así que bién, era un virus que ya tenía controlado... O eso creía, pero no encontré cura ni actualización que lo eliminase, formateaba, me cargaba de antivirus y protecciones antes de tener conexión a Internet pero el sasser volvía...
Entonces me instalé el Norton, y aparentemente no tenía el sasser, no me aparecía la típica pantallita d eformateo a los 60 segundos... Pero la conexión me va cada vez más lenta hasta q es casi imposible conectarse.... Si miro en procesos tengo el archivo LASSER.EXE , ¿no es este el sasser? Pero es que lo curioso es que he comprobado que recién formateado el pc, esta ahí.. Será un archivo de sistema, porque o me estoy volviendo loca o esto es imposible... He probado el Mcafee, el avast, el Norton, Panda... Todos con sus actualizaciones ninguno me ha reconocido ningún virus, pero siempre me llega el momento en que la conexión me va tan lenta que tengo que formatear de nuevo para poder utilizarla una tarde...
Agradecería infinitamente una solución....
Alguien sumido en la desesperación...
Conexión cada vez más lenta pero no parece el SASSER ...
-
NataSbagliata
- Mensajes: 5
- Registrado: 03 Nov 2005, 20:07
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Estos problemas de intrusion del Sasser o variante ya no los huibiera tenido con el McAfee SI HUBIERA APLICADO LOS PARCHES DE MICROSOFT !!!
Ello es imprescindible, pues ningun antivirus sirve para evitar el intento de intrusion y en consecuencia sufrir un desbordamiento de buffer del LSASS contra el que windows lanza el consabido Shuitdown a 60 segundos.
Independienyemente, con el ELITRIIP no solo detecta y elimina las posibles intrusiones de las miles de variantes del Sasser y del Blaster, sino que aemás le avisa si encientra a faltar los parches correspondientes MS04-022 y MS04-012 , o en su lugar el SP2 de XP
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
Y nada de formatear , por Dios !!!
Simplemente mantener antivirus y poarches siempre actualizados .
saludos
ms, 4-11-2005
Ello es imprescindible, pues ningun antivirus sirve para evitar el intento de intrusion y en consecuencia sufrir un desbordamiento de buffer del LSASS contra el que windows lanza el consabido Shuitdown a 60 segundos.
Independienyemente, con el ELITRIIP no solo detecta y elimina las posibles intrusiones de las miles de variantes del Sasser y del Blaster, sino que aemás le avisa si encientra a faltar los parches correspondientes MS04-022 y MS04-012 , o en su lugar el SP2 de XP
ELITRIIP:
Y nada de formatear , por Dios !!!
Simplemente mantener antivirus y poarches siempre actualizados .
saludos
ms, 4-11-2005
Última edición por msc hotline sat el 06 Nov 2005, 10:00, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
NataSbagliata
- Mensajes: 5
- Registrado: 03 Nov 2005, 20:07
No da resultado...
Ya sabía de que iba el sasser (y otros virus) Así que lo primero que hice fue instalar el parche de Microsoft y el Eliitrip.. Pero el lsass.exe sigue ahí, llega el momento en que la conexión no funciona.. Y o formateo e instalo de nuevo Internet, o me es imposible conectarme...
¿Será otro virus distinto para el que necesito otra cura?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
A ver, el LSASS.EXE es del sistema operativo, claro que lo tiene ! y lo debe seguir teniendo
Lo que hacen las variantes del Sasser es provocar un desbordamiento de buffer en dicha aplicacion y asi poder intrusionar si le faltaran los parches, pero si es lo primero que pone, olvidese del Sasser !
Mas bien pueden ser spywares, si tiene a raya los virus.
Siga el siguiente tutorial:
https://foros.zonavirus.com/viewtopic.php?t=4795
saludos
ms, 4-11-2005
Lo que hacen las variantes del Sasser es provocar un desbordamiento de buffer en dicha aplicacion y asi poder intrusionar si le faltaran los parches, pero si es lo primero que pone, olvidese del Sasser !
Mas bien pueden ser spywares, si tiene a raya los virus.
Siga el siguiente tutorial:
saludos
ms, 4-11-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
NataSbagliata
- Mensajes: 5
- Registrado: 03 Nov 2005, 20:07
He seguido el tutorial, despues de pasar el ad-aware y el spybot la cosa ha mejorado... (Según velocímetro ahora mi velocidad de descarga es de 16 kb... antes ni podia pasarlo porque me iba lentísima) ... Aún así algo falla... Mi conexión es de 4mb... Deberían ser unos 180kb (como me iba en los buenos tiempos...) . He pasado el [b]HijackThis[/b]
Logfile of HijackThis v1.99.1
Scan saved at 2:39:22, on 05/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\system32\svchost.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
C:\ARCHIV~1\mcafee.com\vso\mcvsescn.exe
c:\archivos de programa\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\ARCHIV~1\Launch Manager\LaunchAp.exe
C:\ARCHIV~1\Launch Manager\PowerKey.exe
C:\ARCHIV~1\Launch Manager\HotkeyApp.exe
C:\ARCHIV~1\Launch Manager\CtrlVol.exe
C:\ARCHIV~1\Launch Manager\Wbutton.exe
C:\Archivos de programa\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\ltmoh\Ltmoh.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Program Files\Washer\washer.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
c:\archiv~1\mcafee.com\vso\mcvsftsn.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Documents and Settings\NataSbagliata\Mis documentos\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =http://global.acer.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\ARCHIV~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\ARCHIV~1\Launch Manager\PowerKey.exe"
Muchas gracias por su atención, un saludo;)
Logfile of HijackThis v1.99.1
Scan saved at 2:39:22, on 05/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\system32\svchost.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
C:\ARCHIV~1\mcafee.com\vso\mcvsescn.exe
c:\archivos de programa\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\ARCHIV~1\Launch Manager\LaunchAp.exe
C:\ARCHIV~1\Launch Manager\PowerKey.exe
C:\ARCHIV~1\Launch Manager\HotkeyApp.exe
C:\ARCHIV~1\Launch Manager\CtrlVol.exe
C:\ARCHIV~1\Launch Manager\Wbutton.exe
C:\Archivos de programa\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\ltmoh\Ltmoh.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Program Files\Washer\washer.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
c:\archiv~1\mcafee.com\vso\mcvsftsn.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Documents and Settings\NataSbagliata\Mis documentos\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\ARCHIV~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\ARCHIV~1\Launch Manager\PowerKey.exe"
Muchas gracias por su atención, un saludo
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues en el log del HJT solo se apreciia que todabía no has instalado los parfches (Debes lanzar un wiindowsupdate) y esta clave desconocida que puede ser algo instalado por tí o no.
O4 - HKLM\..\Run: [LaunchApp] LaunApp
Si la conoces dejala, pero si no, eliminala.
De todas formas, la velocidad de bajada con 4 Mbits/seg de ancho de banda debe estar entre 50 y 500 Kbytes/seg , por lo que los 16 Kbytes quie indicas estám bajo minimos !!!, mientras que los 180 Kbytes/seg eran logicos de termino medio.
Vamos a ver si lo mejoramos !
Elimina temporales... y mira si te beneficia eliminar esta clave (NO VIRICA):
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
Y tras ello lanza un ELISTARA, no sea que encontremos algo mas alla de lo normal (Home Searvj Assistant i alguna otra aplicacion instalada...)
Por cierto, revisa en Panel de Control -> Agregar o Quitar Programas que no hay nada desconocido.
Baja estas dos utilidades y pruebalas:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
ELITEMPO
http://www.zonavirus.com/datos/descargas/70/EliTempo.asp
Y cuentanos el resultado como respuesta de este tema, gracias
saludos
ms, 6-11-2005
O4 - HKLM\..\Run: [LaunchApp] LaunApp
Si la conoces dejala, pero si no, eliminala.
De todas formas, la velocidad de bajada con 4 Mbits/seg de ancho de banda debe estar entre 50 y 500 Kbytes/seg , por lo que los 16 Kbytes quie indicas estám bajo minimos !!!, mientras que los 180 Kbytes/seg eran logicos de termino medio.
Vamos a ver si lo mejoramos !
Elimina temporales... y mira si te beneficia eliminar esta clave (NO VIRICA):
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
Y tras ello lanza un ELISTARA, no sea que encontremos algo mas alla de lo normal (Home Searvj Assistant i alguna otra aplicacion instalada...)
Por cierto, revisa en Panel de Control -> Agregar o Quitar Programas que no hay nada desconocido.
Baja estas dos utilidades y pruebalas:
ELISTARA:
ELITEMPO
Y cuentanos el resultado como respuesta de este tema, gracias
saludos
ms, 6-11-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
NataSbagliata
- Mensajes: 5
- Registrado: 03 Nov 2005, 20:07
A ver por partes...
Lo que más me ha desconcertado es que no estén instalados los parches de Microsoft ni las actualizaciones, asi que los he vuelto a descargar y vuelto a instalar... (Descarga eterna a 0,2k..) De todas formas el viernes recuerdo que reinicié para que fuesen las actualizaciones... (Que tengo la opción para que sean automáticas... ) No obstante he intentado lanzar un windows update manual, y me ha sido imposible, me salían mensajes de error...
O4 - HKLM\..\Run: [LaunchApp] LaunApp
Esto es un software del teclado.
En estos momentos la conexión no es ni a 16k de descarga ya que me ha costado mucho llegar a poder escribir en el foro..
He lanzado un ElistarA, no he encontrado nada extraño, también un Elitempo... He vuelto a lanzar el ad-aware y el Spybot.
No sé como eliminar esta clave:
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
ya que no me deja... No sé otra forma para eliminar más que la clásica.
Lanzo otro HijackThis... A ver si sale algo nuevo... Porque ya no sé que hacer....
Logfile of HijackThis v1.99.1
Scan saved at 23:33:03, on 05/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\ARCHIV~1\Launch Manager\LaunchAp.exe
C:\ARCHIV~1\Launch Manager\PowerKey.exe
C:\ARCHIV~1\Launch Manager\HotkeyApp.exe
C:\ARCHIV~1\Launch Manager\CtrlVol.exe
C:\ARCHIV~1\Launch Manager\Wbutton.exe
C:\Archivos de programa\Acer\Notebook Manager\almxptray.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\system32\svchost.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\ARCHIV~1\mcafee.com\vso\mcvsescn.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Program Files\Washer\washer.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
c:\archiv~1\mcafee.com\vso\mcvsftsn.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Documents and Settings\NataSbagliata\Mis documentos\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\ARCHIV~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\ARCHIV~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\ARCHIV~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\ARCHIV~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Archivos de programa\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Washer] C:\Program Files\Washer\washer.exe /0
O4 - HKCU\..\Run: [SpySweeper] C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe /0
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) -http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,83/mcinsctl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131195275892
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) -http://download.mcafee.com/molbin/shared/mcgdmgr/es/1,0,0,20/mcgdmgr.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
Muchas gracias por su atención.
Un saludo;)
Lo que más me ha desconcertado es que no estén instalados los parches de Microsoft ni las actualizaciones, asi que los he vuelto a descargar y vuelto a instalar... (Descarga eterna a 0,2k..) De todas formas el viernes recuerdo que reinicié para que fuesen las actualizaciones... (Que tengo la opción para que sean automáticas... ) No obstante he intentado lanzar un windows update manual, y me ha sido imposible, me salían mensajes de error...
O4 - HKLM\..\Run: [LaunchApp] LaunApp
Esto es un software del teclado.
En estos momentos la conexión no es ni a 16k de descarga ya que me ha costado mucho llegar a poder escribir en el foro..
He lanzado un ElistarA, no he encontrado nada extraño, también un Elitempo... He vuelto a lanzar el ad-aware y el Spybot.
No sé como eliminar esta clave:
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
ya que no me deja... No sé otra forma para eliminar más que la clásica.
Lanzo otro HijackThis... A ver si sale algo nuevo... Porque ya no sé que hacer....
Logfile of HijackThis v1.99.1
Scan saved at 23:33:03, on 05/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\ARCHIV~1\Launch Manager\LaunchAp.exe
C:\ARCHIV~1\Launch Manager\PowerKey.exe
C:\ARCHIV~1\Launch Manager\HotkeyApp.exe
C:\ARCHIV~1\Launch Manager\CtrlVol.exe
C:\ARCHIV~1\Launch Manager\Wbutton.exe
C:\Archivos de programa\Acer\Notebook Manager\almxptray.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\system32\svchost.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\ARCHIV~1\mcafee.com\vso\mcvsescn.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Program Files\Washer\washer.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
c:\archiv~1\mcafee.com\vso\mcvsftsn.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Documents and Settings\NataSbagliata\Mis documentos\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\ARCHIV~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\ARCHIV~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\ARCHIV~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\ARCHIV~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Archivos de programa\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Washer] C:\Program Files\Washer\washer.exe /0
O4 - HKCU\..\Run: [SpySweeper] C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe /0
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
Muchas gracias por su atención.
Un saludo
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues no sé que ha hecho pero ahora está peor:
Arranque en modo seguro y elimine esta clave:
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
y sin reiniciar, en modo seguro lance el ELISTARA para poder eliminar las 015 PROTOCOL DEFAULT que han aparecido.
Sobretodo que el ELISTARA sea reciente !!!
saludos
ms, 7-11-2005
Arranque en modo seguro y elimine esta clave:
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
y sin reiniciar, en modo seguro lance el ELISTARA para poder eliminar las 015 PROTOCOL DEFAULT que han aparecido.
Sobretodo que el ELISTARA sea reciente !!!
saludos
ms, 7-11-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
NataSbagliata
- Mensajes: 5
- Registrado: 03 Nov 2005, 20:07
Creo que me rindo...
Agradezco la atencion que se me ha dado, pero podría decir que lo he probado todo y el problema persiste, nada de lo que hago mejora nada .... Comienzo a dudar que el spyware sea el problema, porque aunque he eliminado elementos de este tipo la conexión sigue igual, es más, a mi no me aparece publicidad que no quiero, no se me agrega nada que no quiera a favorito etc...
Un saludo
Un saludo
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Recienbtemente hemos descubierto nuevas variantes que utilizan estas claves:
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
Baje el ELISTARA 10.62 y lancelo, arrancando mejorr en modo seguro con solo simbolo de sistema. y si le pide que nos envie alguina muestra, hagalo, es muy importante para poder ir controlando nuevas variantes
saludos
ms, 19-11-2005
ms., 19-11-2005
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
Baje el ELISTARA 10.62 y lancelo, arrancando mejorr en modo seguro con solo simbolo de sistema. y si le pide que nos envie alguina muestra, hagalo, es muy importante para poder ir controlando nuevas variantes
saludos
ms, 19-11-2005
ms., 19-11-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online