El ordenador se me vuelve a bloquear con internet

javiportu · Mensaje por **javiportu** » 03 Ene 2006, 21:43

Amigos, mi gozo en un pozo :x , parecía que se había arreglado pero ha vuelto el mismo problema detallado en otro mensaje mío anterior. Aquí tenéis el link:

[url]http://foros.zonavirus.com/viewtopic.php?p=47903#47903[/url]

Se vuelve a bloquear con el svchost.exe de la misma forma exactamente, después de haber quitado el XoftSpy y meter el EliStarA. ¿Alguna idea de cómo resolver esto?

Por otra parte, por si tuviera algo que ver, está el tema del fichero Kavsvc.exe que se activa el solo y no me deja usar el Kasperski, ni siquiera me deja matar el proceso. De manera extraña, si cambio la fecha del ordenador, atrasándola hasta antes del 29 de diciembre, que es cuando empezó el problema, éste se arregla y me deja usar el antivirus. Pero si pongo la fecha actual el problema reaparece. ¿Qué opináis?

De nuevo muchas gracias

Mensaje por **msc hotline sat** » 04 Ene 2006, 07:43

Posteanos log actual del HJT:

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

saludos

ms, 4-1-2006

javiportu · Mensaje por **javiportu** » 07 Ene 2006, 19:04

acabo de pasar el HJT, antes de ello he actualizado la fecha del windows para que aparezca el problema con el Kasperski. Este es el log:

Logfile of HijackThis v1.99.1

Scan saved at 18:54:56, on 07/01/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Billionton\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\CASIO\Pocket Sheet Sync\PSXLTRAY.EXE

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Archivos de programa\Billionton\Software Bluetooth\BTTray.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\CASIO\PCsync\QDCTray.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\javi\Mis documentos\javi\software\ANTIVIRUS-CRACK\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\System32\vturq.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [System Updates Service] updates.pif

O4 - HKLM\..\Run: [Win Security] msw32.pif

O4 - HKLM\..\Run: [Browser Help Svc] BHSV.EXE

O4 - HKLM\..\RunServices: [System Updates Service] updates.pif

O4 - HKLM\..\RunServices: [Win Security] msw32.pif

O4 - HKLM\..\RunServices: [Browser Help Svc] BHSV.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [Pocket Sheet Sync] C:\Archivos de programa\CASIO\Pocket Sheet Sync\PSXLTRAY.EXE

O4 - HKCU\..\Run: [System Updates Service] updates.pif

O4 - HKCU\..\Run: [Browser Help Svc] BHSV.EXE

O4 - HKCU\..\RunServices: [System Updates Service] updates.pif

O4 - HKCU\..\RunServices: [Browser Help Svc] BHSV.EXE

O4 - Startup: Quick Data Copy.lnk = C:\Archivos de programa\CASIO\PCsync\QDCTray.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Billionton\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Billionton\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Billionton\Software Bluetooth\btsendto_ie.htm

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/082ca7636bcac8e4fe16/netzip/RdxIE601_es.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll

O20 - Winlogon Notify: ddaby - ddaby.dll (file missing)

O20 - Winlogon Notify: vturq - C:\WINDOWS\System32\vturq.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\Billionton\Software Bluetooth\bin\btwdins.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe (file missing)

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

Mensaje por **msc hotline sat** » 07 Ene 2006, 20:23

Debes actualizar parches de microsoft, lanzando un windowsuodate, pues sino tu antivirus no podrá evitar que te infectes con algunos virus !!!:

[quote]MSIE: Internet Explorer v6.00 (6.00.2600.0000) [/quote]

LANZA UN WINDOWSUPDATE !!! (Abre el navegador I.E. -> Herramientas -> Windowsupdate)

y luego aparecen virus y troyanos que deben eliminarse con las correspondientes utilidades, para eliminar todas las claves de registro que hubieren instalado, no solo las visibles en el log del HJT, como ya indicamos en:

https://foros.zonavirus.com/viewtopic.php?t=5148

y lo decimos de entrada por la presencia de varias claves, que denotan un ROOTKIT , por lanzar el UPDATES.PIF:

O4 - HKLM\..\Run: [System Updates Service] updates.pif

o las que lanzan RBOT:

O4 - HKLM\..\Run: [Win Security] msw32.pif

o las que lanzan el BHSV.EXE, que hay varias... y tambien es un RBOT !!!

y lanza tambien el ELISTARA, para controlar esta 020 del winlogon notify:

O20 - Winlogon Notify: vturq - C:\WINDOWS\System32\vturq.dll

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Las que sí que puedes eliminar de entrada lanzando el HJT, seleccionandolas y dandoles FIX son estas 3:

O20 - Winlogon Notify: ddaby - ddaby.dll (file missing)

O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe (file missing)

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

Tras todo ello, reinicia y dinos si han desaparecido los problemas, como respuesta de este Tema, gracias

saludos

ms, 7-1-2006

javiportu · Mensaje por **javiportu** » 23 Ene 2006, 22:51

Hola,

Hemos conseguido eliminar uno de los dos problemas, el que controlaba el kasperski. El del svchost.exe que se activa en internet y bloquea la conexión no ha muerto todavía. Os comento lo que he hecho:

1. Con el hijackthis eliminé el proceso 20 (ddaby), pero los procesos 23 (winarc y WinNet) permanecen a pesar de pulsar FixChecked. No puedo eliminarlos.

2. Restaure el sistema a una fecha anterior a cuando empecé a tener el problema del kasperski.

3. Actualicé el kasperski, el spybot y el EliStarA.

4. Los lancé en modo de prueba de errores y me eliminé bastantes amenazas (sobre todo con el Spybot).

A partir de ahí el problema del kasperski desapareció. El problema del bloqueo de internet parecía arreglado pero al cabo de 2 días ha vuelto a actuar. Esto me provoca no poder actualizar el windows, puesto que con mi conexion telefonica de 56 kb, necesito horas para bajarse 35 Mb que hacen falta para actualizarlo, y en algun momento casca.

Este es el log actual del hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 22:42:46, on 23/01/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Archivos de programa\Billionton\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\CASIO\Pocket Sheet Sync\PSXLTRAY.EXE

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Archivos de programa\Billionton\Software Bluetooth\BTTray.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\CASIO\PCsync\QDCTray.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE

C:\Documents and Settings\javi\Mis documentos\javi\software\ANTIVIRUS\hijackthis\HijackThis.exe

C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\System32\vturq.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [System Updates Service] updates.pif

O4 - HKLM\..\Run: [Win Security] msw32.pif

O4 - HKLM\..\Run: [Browser Help Svc] BHSV.EXE

O4 - HKLM\..\RunServices: [System Updates Service] updates.pif

O4 - HKLM\..\RunServices: [Win Security] msw32.pif

O4 - HKLM\..\RunServices: [Browser Help Svc] BHSV.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [Pocket Sheet Sync] C:\Archivos de programa\CASIO\Pocket Sheet Sync\PSXLTRAY.EXE

O4 - HKCU\..\Run: [System Updates Service] updates.pif

O4 - HKCU\..\Run: [Browser Help Svc] BHSV.EXE

O4 - HKCU\..\RunServices: [System Updates Service] updates.pif

O4 - HKCU\..\RunServices: [Browser Help Svc] BHSV.EXE

O4 - Startup: Quick Data Copy.lnk = C:\Archivos de programa\CASIO\PCsync\QDCTray.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Billionton\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Billionton\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Billionton\Software Bluetooth\btsendto_ie.htm

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/082ca7636bcac8e4fe16/netzip/RdxIE601_es.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll

O20 - Winlogon Notify: vturq - C:\WINDOWS\System32\vturq.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\Billionton\Software Bluetooth\bin\btwdins.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe (file missing)

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

Mensaje por **msc hotline sat** » 24 Ene 2006, 05:09

Sifue teniendo los virus y gusanos que le indicabamos:

[quote="msc"]
y luego aparecen virus y troyanos que deben eliminarse con las correspondientes utilidades, para eliminar todas las claves de registro que hubieren instalado, no solo las visibles en el log del HJT, como ya indicamos en:

https://foros.zonavirus.com/viewtopic.php?t=5148

y lo decimos de entrada por la presencia de varias claves, que denotan un ROOTKIT , por lanzar el UPDATES.PIF:

O4 - HKLM\..\Run: [System Updates Service] updates.pif

o las que lanzan RBOT:

O4 - HKLM\..\Run: [Win Security] msw32.pif

o las que lanzan el BHSV.EXE, que hay varias... y tambien es un RBOT !!!
[/quote]

Aparte, posteenos el contenido de C:\infosat.txt,. resultante de haber pasado el ELISTARA, que nos dirá lo que ha detectado e indicado su proceder al respecto.

Y recierde, tan pronto haya eliminado los virus ya indicados en el post anterior, actualice con windowsupdate !!!, sino por mas que limpie, volvera a infectarse al tener tanmtos agujeros de seguridad como tiene. Si quiere, elimine las claves donde decimos se detectan dichos virus, y tras reiniciar conecte a Internet y verá que ha mejorado la rapidez al no poner dichos gusanos en uso, o bien mueva a una carpeta de cuarentena los ficheros que lanzan, y asi al reiniciar ya no los encontrarán en su sitio y no los cargará en memoria.

Si tiene problema de deteccion de dichos ficheros con su antivirus, envienoslos a zonavirus@satinfo.es anexados a un mail en cuyo texto indique como referencia REF RBOT y tras analizarlos los implementaremos en nuestras utilidades, lo cual se lo indicariamos como respuesta de este Tema.

Le recuerdo que los ficheros de marras son:

msw32.pif y updates.pif

los cuales no deben ser eliminados simplemente con el HJT, por poder haber creado o modificado claves fuera de lo que muestra el HJT, que es una minima parte del registro, y haberse de eliminar con el antivirus o utilidad que lo detecte.

saludos

ms, 24-1-2006

saludos

ms, 24-1-2006

javiportu · Mensaje por **javiportu** » 24 Ene 2006, 21:15

hola,

si esos virus permanecen en mi ordenador sera porque los antivirus y antiespias no funcionan bien, porque como ya comentaba anteriormente, creo haber seguido vuestras instrucciones al pie de la letra: arrancar en modo seguro y correr SpyBot, EliStarA y Kasperski completamente actualizados.

El resultado del HJT es posterior a todo esto, por tanto entiendo que si los virus siguen ahi es porque no los han podido elimnar.

¿Hay algun otro programilla que sea mejor detectando esos virus? Si es asi, decidme y las busco por el foro.

Os pongo el contenido del infosat.txt del EliStarA:

Sat Jan 21 11:45:04 2006

EliStartPage v10.98 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Netscape\Netscape Browser\NSUninst.exe --> AutoExtraible

C:\Documents and Settings\javi\Mis documentos\javi\music\slsk155-222.exe --> AutoExtraible

C:\kav\personal\spanish\kav5.0.149.4_personales.exe --> AutoExtraible

En cuanto me lo confirmeis, pongo un mensaje en el otro foro de problemas de deteccion.

muchas gracias

Mensaje por **msc hotline sat** » 25 Ene 2006, 08:25

Procede a enviarnos los ficheros, como te deciamos:

[quote="msc"]Si tiene problema de deteccion de dichos ficheros con su antivirus, envienoslos a zonavirus@satinfo.es anexados a un mail en cuyo texto indique como referencia REF RBOT y tras analizarlos los implementaremos en nuestras utilidades, lo cual se lo indicariamos como respuesta de este Tema.

Le recuerdo que los ficheros de marras son:

msw32.pif y updates.pif

[/quote]

Tras analizarlos, implamentaremos su control y eliminacion en posteriores versiones de nuestras utilidades, de lo cual informaremos como respuesta de este Tema

saludos

ms, 25-1-2006

javiportu · Mensaje por **javiportu** » 04 Feb 2006, 12:43

no logro encontrar la ubicacion de esos archivos en el sistema, he buscado incluso con el buscador de windows, pero nada. Veo el proceso con el HJT pero nada mas. ¿Como puedo acceder a ellos?

He instalado tb el Ad-Aware y tb encuentra traking cookies y otras amenazas, pero las elimino y el problema del svchost.exe se mantiene. :cry:

Por otra parte, me he puesto a bajar actualizaciones para el windows xp, pero al comenzar a instalar, me dice que el codigo no es correcto y no puede instalarlas :evil: ¿sera porque el windows xp pro que tengo es pirata? :?:

Mensaje por **msc hotline sat** » 06 Feb 2006, 10:41

Bisqyelos con Inicio->Buscar, configurando ver todos los ficheros (incluso los ocultos) y deshabilitando el Ocultar ficheros de sistema, por si tuvieran atrubutos de oculto (H) op sistema (S)

Aparte, actualice el ELISTARA, pues ya vamos por la 11.09, y lancelo, no sea que ya esté controlado tras tantas versiones...

saludos

ms, 6-2-2006