Ayuda please!!! :)

[MayCry]

Aqui lo pongo:



Logfile of HijackThis v1.99.1

Scan saved at 0:02:36, on 02/11/2002

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\NetLimiter\NetLimiter.exe

C:\Archivos de programa\SinEspias\No-Spy.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\dlhost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\DOCUME~1\Isa\CONFIG~1\Temp\Rar$EX00.061\HijackThis.exe

C:\WINDOWS\winat.exe

E:\eMule0.46b\emule.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [NetLimiter] C:\Archivos de programa\NetLimiter\NetLimiter.exe /s

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe

O23 - Service: WindowsNT (MicsNT) - Unknown owner - C:\WINDOWS\winat.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe



El problema lo tengo con los archivos winat.exe y dlhost.exe, que si los cierro se vuelven a ejecutar, y ya no se que hacer. A traves del Netlimiter, puedo ver que estos dos archivos utilizan conexion de subida y bajado en torno a 1-2 kb, y utilizan muchas conexiones que puedo ver a traves del Netlimiter. El caso es que me relentizan mucho la conexion. A ver si me podeis ayudar. Gracias.

salu2

[msc hotline sat]

Ante todo, le faltan muchos parches de microsoft. Actualice con windowsupdate !!!





El DLHOST.EXE es un tipico spyware, el Iambigbrother



http://securityresponse.symantec.com/avcenter/venc/data/spyware.iambigbrother.html



y el WINAT.EXE puede ser utilizado por algun Home Search Assistant u otro malware.



Por ello recomiendo empezas por pasar el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







Y si tras ello persisten las anomalias, lance el HJT, marque estas claves y eliminelas con FIX:



O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm



O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm



O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)



O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe



O23 - Service: WindowsNT (MicsNT) - Unknown owner - C:\WINDOWS\winat.exe





Y si alguna de ellas ya no las encuentra,. como las 09 - Extra... que son del adware ALEXA , es que ya las ha borrado el ELISTARA (que por cierto se las debería haber eliminado antes su antispyware...)



Tras todo ello, cuentenos el resultado como respuesta de ste Tema, gracias



saludos



ms, 4-11-205

[MayCry]

Pues he hecho todo lo que me has puesto, pero siguen sin quitarse los archivos winat.exe y dlhost.exe.

Thanks por la ayuda.

[maura63]

Arranca en modo seguro y desactiva antes la restauracion del sitema y vuelve la lanzar el ELISTARA.



Saludos

maura63

[msc hotline sat]

Pues prueba de mover estos ficheros a una carpeta de cuarentena, mejor si lo haces arrancando en modo seguro:



C:\WINDOWS\dlhost.exe -



C:\WINDOWS\winat.exe





Y tras ello, reinicia la máquina y prueba de nuevo de eliminar estas claves:



O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe



O23 - Service: WindowsNT (MicsNT) - Unknown owner - C:\WINDOWS\winat.exe





Como que no habrà podido ponerlas en uso por no encontrarlos en su sitio, no estaràn en uso y espero que las podràs eliminar.



saludos



ms, 4-11-2005