no puedo eliminar proceso inetinfo

[dssanz]

Hola ayer se me infecto el pc, me desabilito el administrador de tareas, entre otras cosas, pude solucionarlo con spybot, adaware, elistara, elitriip. Ahora parece que va bien, pero en el administrador de tareas aparece un proceso llamado inetinfo y no puedo cancelarlo, cuando lo hago aparece otro dos llamados iisrstas e iisreset. Tambien he intentado cambiarle la extension a .com y vuelve a generase automaticamente. Asi que os dejo mi log del hijack para que lo analiceis y me digais que opinais. Gracias.



log:



Logfile of HijackThis v1.99.1

Scan saved at 11:37:49, on 03/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\WINDOWS\System32\rundll32.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} (NowStarter Control) - http://www.clubbox.co.kr/neo.fld/NowStarter.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O16 - DPF: {9BF607E0-4CC1-4099-9A07-362C9E4FB090} (WStarter Control) - http://live.pdbox.co.kr:8057/WStarter.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4A6F495E-0DA6-4791-ABBE-D4BC80A60540}: NameServer = 62.14.63.245,62.14.2.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{4A6F495E-0DA6-4791-ABBE-D4BC80A60540}: NameServer = 62.14.63.245,62.14.2.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{4A6F495E-0DA6-4791-ABBE-D4BC80A60540}: NameServer = 62.14.63.245,62.14.2.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[msc hotline sat]

No dices el virus que eliminaste, pero no creo que tenga nada que ver con el Inetinfo, que es un proceso de microsoft:



http://support.microsoft.com/default.aspx?scid=kb;es;185382



Y sobre el log del HJT,



Faltan todos los parches del SP2 y posteriores. Actualizar con windowsupdate !!!



Eliminar:



O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)



O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)





Y esta clave es desconocida, mira si la conoces y obra en consecuencia





O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} (NowStarter Control) - http://www.clubbox.co.kr/neo.fld/NowStarter.cab



saludos



ms, 3-1-2006



Nota y los otros dos procesos IIS... del Internet Information Server , relacionados con el Inetinfo arriba indicado:



http://www.neuber.com/taskmanager/process/inetinfo.exe.html

[dssanz]

el virus no se su nombre pero eran robots que pude eliminar con spybots, pero los procesos inetinfo, y spool me parecen muy sospechosos porque antes no los tenia. El enlace que has puesto al final no entiendo muy bien que es lo que quieres decir.

Las entradas las he eliminado.

[msc hotline sat]

El link es de un articulo de microsoft para que veas que estos procesos son de aplicaciones de microsoft.



Pero si lo que tuviste fue un rootkit, eso no es un virus !!! es una herramienta de hacker que muy bien podía usar utilidades avanzadas de microsoft, que son a veces potencialmente peligrosas, y en este caso pueden estar relacionados!



En su log aparece la carga de este INETINFO, por lo que estará residente. Si bien podría eliminar la clave de carga, sugiero siga lo indicado en el primero de los links, donde se indica como actuar al respecto, para quitarlo de la memoria: C:\WINDOWS\System32\inetsrv\inetinfo.exe



Los procesos de IIS (Interbet information Server) van ligados a los servidores web, y es posible que el hacktool entrara por intrusion IP a su ordenador, seguramente por no tener cortafuegos activado ???



Vea de seguir los pasos indicados y detener el proceso del inetinfo como se le indica en el primer link.



saludos



ms, 3-1-2006

[dssanz]

Gracias por contestar, efectivamente tiene toda la pinta de lo que dices acerca del ataque hacker. Por lo que me queda la duda de si siguen teniendo control a mi sistema, si puedes dame algun consejo. Respecto a lo de inetinfo, desinstale IIS y el proceso ya desaparecio, tambien habia confundido el proceso spool con spoolsv. Por lo tanto, esto ya esta solucionado. En principio, parece que todo funciona bien, pero me queda la duda de la intrusion hacker. Ah por cierto, tenia antivirus norton actualizado y el firewall activo. Gracias por la ayuda.

[msc hotline sat]

Sí, pero usas windows XP que instala en cada reinicio comparticiones administrativas ...



Mira este articulo y por mas que hagas siempre te quedará alguna abierta cuando reinicies...



http://www.satinfo.es/web/2003/comparticions.html



Haz lo indicado en el articulo y veras que a poner el BAT indicado en el inicio siempre aparecerá una comparticion abierta con el cuando lances el NETSTAT



saludos



ms, 4-1-2006