servicio de mensajeria de windows

razh · Mensaje por **razh** » 11 Jun 2004, 12:43

hola!!

el problema que tengo es que me aparecen diversos mensajes de propaganda de paginas a traves del sistema de mensajeria instantanea de windows.

me podriais decir como eliminar estos putos virus¿¿¿

(he desactivado el servicio de mensajeria y asi no me salen los mensajes pero no me gusta tener esos wirus en el ordenata)

MUXAS GRACIAS

:shock: :shock: :D :D :D :wink: :twisted:

Mensaje por **admin** » 11 Jun 2004, 12:44

Con desactiva el servicio de mensajeria se soluciona el problema, pero tienes que reiniciar para que susta efecto el desactiva el servicio

razh · Mensaje por **razh** » 11 Jun 2004, 12:52

Ya e desactivado el servicio y los mensajes no me aparecen

pero no ay ninguna forma de eliminar todos los spam de mi ordenador de forma que al volver a activar el servicio de mensajeria no me vuelvan a aparecer¿¿¿

Mensaje por **admin** » 11 Jun 2004, 12:58

No se puede, realmente tu no tienes ningun virus, es otra maquina q entra a traves de ese servicio para lanza mensajes en tu pantalla de publicidad.

Para usar este servicio no es necesario más que saber la dirección IP de la red y de sus máquinas. No está implementado ningún tipo de control sobre quien envía los mensajes o quien los recibe.

Un individuo malicioso podría incluso crear mensajes que simularan las advertencias de un antivirus, obligando a un usuario desprevenido a alguna acción destructiva.

Cualquiera puede enviarle un mensaje de este tipo, simplemente conociendo la dirección IP de su computadora, ejecutando un simple comando NET, incluso a través de Internet, buscando un puerto 139 abierto (NETBIOS), con recursos compartidos disponibles.

razh · Mensaje por **razh** » 11 Jun 2004, 13:05

el problema esque no necesito estar conectado a internet para que me aparezcan los dichosos mensajitos, ademas me aparecen siempre los mismos. ¿¿¡no es posible que me hayan colado algun tipo de rutina de forma que me aparezcan los mensajes cada cierto tiempo¿¿¿¿¿

he escaneado con el hijack this para ver si podia ser algo parecido a lo que pasa cuando te cambian la pagina de inicio pero no veo nada.

Mensaje por **maura63** » 11 Jun 2004, 13:10

Prueba con estos programas

Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema

· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp

· Ad-aware Personal 6.0 Build 181

Ad-aware es de lo mejorcito. Una genial utilidad que analiza tu PC en busca de ficheros "espía" y te ayuda a eliminarlos de forma segura. Puedes elegir los módulos a eliminar, guardar ficheros de registro y personalizar el menú del programa. Ad-aware encuentra y elimina decenas de programas tipo spyware como: Aureate/Radiate, CometCursor, Cydoor, Conducent/Timesink, Flysway, Gator y Web3000 entre muchos otros.

Sitio 1 - Descargar Ad-aware Personal 6.0 Build 181

http://download.com.com/3001-8022-10214379.html

Paquete Traductor al español

http://updates.ls-servers.com/aaw-lang-pack.exe

----------------------------------------------------------------

Sitio 2 - Descargar Ad-aware Personal 6.0 Build 181 desde zonavirus.com

http://www.zonavirus.com/descargas/ad-aware-free-internet-security.asp

Descargar Paquete Traductor al español desde zonavirus.com

http://www.zonavirus.com/descargas/ad-aware-free-internet-security.asp

· SpywareBlaster 3.1

Sitio 1 - Descargar SpywareBlaster 3.1

http://majorgeeks.com/download2859.html

----------------------------------------------------------------

Sitio 2 - Descargar SpywareBlaster 3.1 desde zonavirus.com

http://www.zonavirus.com/descargas/spywareblaster.asp

Saludos

maura63

Mensaje por **admin** » 11 Jun 2004, 13:10

Me imagino que estas en una red local

Por q yo he probado el sistema y siempre lo hecho desde otra makina, pero acabo de confirmar q desde la propia makina se puede has una prueba salga el log del hijack y copialo aqui

razh · Mensaje por **razh** » 11 Jun 2004, 13:57

con el hijack me sale esto:

Logfile of HijackThis v1.97.7

Scan saved at 18:09:22, on 20/01/2003

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\htpatch.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Archivos de programa\Classic PhoneTools\CapFax.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\HIJO\Escritorio\BAJAX ULTIMATE\PROGRAMATU\SEGURIDAD\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://shell.windows.com/fileassoc/fileassoc.asp?LangID=0c0a&Ext=bin

O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [CapFax] C:\Archivos de programa\Classic PhoneTools\CapFax.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [AcctMgr] C:\Archivos de programa\Norton SystemWorks\Password Manager\AcctMgr.exe /startup

O4 - HKLM\..\Run: [Microsoft Update] wumgrd.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wumgrd.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoft Update] wumgrd.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: Run DAP (HKLM)

O9 - Extra button: Referencia (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{36D84EDC-5B48-42F7-A535-2801310BC844}: NameServer = 195.235.113.3 195.235.96.90

e escaneado con el adware y no tengo nada

Mensaje por **msc hotline sat** » 11 Jun 2004, 16:09

Como que se debe tratar de un residente, ya que dices que te aparece igualmente sin estar conectado, lanza un PRCVIEW, y una vez se vean los procesos, que lo salve en un log con el nombre que se quiera, a base de pinchar en FILE y seleccionar SAVE AS (F3) , el log resultante mostrará, además, version de la aplicacion en cuestion y copyright, lo cual facilita muchisimo la deteccion del intruso.

Visores de procesos que se cargan en el inicio:

· PrcView

Sitio 1 - Descargar PrcView

http://www.xmlsp.com/pview/PrcView.zip

----------------------------------------------------------------

Sitio 2 - Descargar PrcView desde zonavirus.com

http://www.zonavirus.com/descargas/PrcView.zip

Si quiere hacerlo, luego edite el fichero con el bloc de nota, haga CTRL E para seleccionarlo todo, CTRL C para copiarlo y abra un post de respuesta a este y copie el contenido del log con CTRL V, y así lo estudiaremos, quien sea de nosotros, en un momento.

saludos

ms, 11-05-2004

razh · Mensaje por **razh** » 12 Jun 2004, 20:50

con el prcview me sale:

Ati2evxx.exe 1232 C:\WINDOWS\System32\Ati2evxx.exe Ati2evxx.exe

atiptaxx.exe 2792 C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe ATI Desktop Control Panel 6.14.10.5014. Copyright (C) 1998-2002 ATI Technologies Inc.

CapFax.EXE 2784 C:\Archivos de programa\Classic PhoneTools\CapFax.EXE Surveillance Capture Fax 5.00. Copyright © BVRP Software 2000

ccApp.exe 2824 C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe Symantec Common Client User Session 2.0.0.635. Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.

ccEvtMgr.exe 980 C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe Common Client Event Manager Service 2.0.0.635. Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.

ccSetMgr.exe 928 C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe Common Client Settings Manager Service 2.0.0.635. Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.

csrss.exe 452 C:\WINDOWS\system32\csrss.exe Client Server Runtime Process 5.1.2600.0. © Microsoft Corporation. All rights reserved.

ctfmon.exe 2748 C:\WINDOWS\System32\ctfmon.exe CTF Loader 5.1.2600.0. © Microsoft Corporation. All rights reserved.

Explorer.EXE 1020 C:\WINDOWS\Explorer.EXE Explorador de Windows 6.00.2600.0000. © Microsoft Corporation. Reservados todos los derechos.

GhostStartService.exe 1276 C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartService.exe Norton Ghost Start 2003.789. Copyright (C) 1998-2003 Symantec Corp. All rights reserved.

GhostStartTrayApp.exe 2820 C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe Norton Ghost Start 2003.789. Copyright (C) 1998-2003 Symantec Corp. All rights reserved.

htpatch.exe 1644 C:\WINDOWS\htpatch.exe htpatch.exe

lsass.exe 540 C:\WINDOWS\system32\lsass.exe LSA Shell (Export Version) 5.1.2600.0. © Microsoft Corporation. All rights reserved.

MDM.EXE 1316 C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE Machine Debug Manager 7.00.9466. © Microsoft Corporation. All rights reserved.

MsnMsgr.Exe 2844 C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe MSN Messenger Version 6.2. Copyright (c) Microsoft Corporation 1997-2004

navapsvc.exe 1344 C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe Norton AntiVirus Auto-Protect Service 10.00.109. Norton AntiVirus 2004 for Windows 98/ME/2000/XP Copyright (c) 2003 Symantec Corporation. All rights reserved.

NOPDB.EXE 1484 C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE NOPDB 7.00.0.24. Copyright (c) 1997-2003 Symantec Corporation

NPROTECT.EXE 1380 C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE Norton Protection Status 17.0.0.82. Copyright (c) 1997-2003 Symantec Corporation

PrcView.exe 3156 C:\Documents and Settings\HIJO\Configuración local\Temp\PrcView.exe Process Viewer Application 3.7.3.1. Developed by Igor Nys, 1995-2003

RunDll32.exe 2680 C:\WINDOWS\System32\RunDll32.exe Ejecutar un archivo DLL como una aplicación 5.1.2600.0. © Microsoft Corporation. Reservados todos los derechos.

SAVScan.exe 1824 C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe Symantec AntiVirus Scanner 9.2. Copyright (c) 2003 Symantec Corporation

services.exe 528 C:\WINDOWS\system32\services.exe Aplicación de servicios y controlador 5.1.2600.0. Copyright (C) Microsoft Corporation. Reservados todos los derechos.

smss.exe 396 C:\WINDOWS\System32\smss.exe Windows NT Session Manager 5.1.2600.0. © Microsoft Corporation. All rights reserved.

spoolsv.exe 1140 C:\WINDOWS\system32\spoolsv.exe Spooler SubSystem App 5.1.2600.0. © Microsoft Corporation. All rights reserved.

svchost.exe 716 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.0. © Microsoft Corporation. All rights reserved.

svchost.exe 760 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.0. © Microsoft Corporation. All rights reserved.

svchost.exe 844 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.0. © Microsoft Corporation. All rights reserved.

svchost.exe 860 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.0. © Microsoft Corporation. All rights reserved.

svchost.exe 1516 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.0. © Microsoft Corporation. All rights reserved.

symlcsvc.exe 1528 C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe Symantec Core Component 1, 8, 48, 79. Copyright (C) 2003

winlogon.exe 484 C:\WINDOWS\system32\winlogon.exe Aplicación de inicio de sesión de Windows NT 5.1.2600.0. © Microsoft Corporation. Reservados todos los derechos.

winzip32.exe 2744 C:\ARCHIV~1\WINZIP\winzip32.exe WinZip Executable 8.1 SR-1 (5266). Copyright (c) WinZip Computing, Inc. 1991-2001 - All Rights Reserved

WZQKPICK.EXE 2952 C:\Archivos de programa\WinZip\WZQKPICK.EXE WinZip Executable 8.1 (4319). Copyright (c) WinZip Computing, Inc. 1991-2001 - All Rights Reserved

razh · Mensaje por **razh** » 12 Jun 2004, 21:08

vale , creo que el archivo cabron es el csrss.exe pero lo que no se es si debo borrarloo no y como lo hago

Mensaje por **cañera** » 12 Jun 2004, 21:29

por lo que he leido puede ser problema de trojano,para eliminarlo hazlo en a modo prueba de errores desaactivando restaurar sistema:

inicio/mi pc,clicas con boton derecho/propiedaderestaurar sistema,lo desactivas y aceptas.

apagas/enciendes el pc y pulsas repetidas veces F8 y en el panel que te aparece escoges la opción modo seguro o modo prueba de errores.

cuentanos como te fue.

razh · Mensaje por **razh** » 13 Jun 2004, 12:14

no me deja eliminarlo ni en modo a prueba de fallos ¿¿como lo hago??

Mensaje por **admin** » 15 Jun 2004, 12:11

Aunque un poco tarde, NO DEBES BORRAR csrss.exe es un fichero del sistema de ventanas y redibujamiento de graficos y subrutinas de ellas, por eso que no te deje ni a modo prueba de fallos es = que svhost

Y despues de revisar la documentacion que aportas, no tienes ningun virus, como anteriormente te comente.

Aunque no me has dicho si esta en una red local.

Y para confirmar tu problema, manda a webmaster @ zonavirus.com (todo junto claro) un pantallazo cuando te salga ese mensaje, cuando te salga pulsa la tecla ~~[b]~~Impr Pant[/b] y abres el ~~[b]~~Paint[/b] y pulsa ~~[b]~~Control + V[/b], lo ~~[b]~~guardas como[/b] y me lo envias al correo q te he mencionado.