Mensajes bastante molestos

menhdel · Mensaje por **menhdel** » 09 Mar 2006, 18:12

Holas a todos, mi problema tiene que ver con una serie de mensajes que me aparecen únicamente cuando estoy conectado a internet. He pasado varios antispywares y antivirus, pero sin resultados, y no se como me puedo deshacer del problema. Pongo un par de ejemplos de lo que me aparece en imágenes:

[url]http://img.photobucket.com/albums/v232/Menhdel/Dibujo3.jpg[/url]

[url]http://img.photobucket.com/albums/v232/Menhdel/Dibujo2.jpg[/url]

Y esta es la que más me ralla:

[url]http://img.photobucket.com/albums/v232/Menhdel/Dibujo.jpg[/url]

En fin, a ver si alguien puede ayudarme, gracias de antemano, y un saludo.

PD: no se si hay normas sobre urls sobre imágenes, si me he saltado algo lo siento :oops:

EDITO: olvidé que también se me reinicia el ordenador. Me sale un mensaje de error en el que pone que LSA Shell ha encontrado un problema y debe cerrarse, tras lo cual sale otro mensaje diciendo que me va a reiniciar por culpa de lsass.exe. Yo pensé que era por tener el sasser, pero como ya he dicho, no se ha encontrado en mi ordenador. Además, no se si tiene que ver, pero cada vez que enciendo, el auto-protect del Norton aparece desactivado. En fin...

Mensaje por **msc hotline sat** » 09 Mar 2006, 19:32

Pues a la vista de lo que indica de que ha pasado antivirus y antispywares, posteenos el log del HJT:

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

t lo analizaremos a ver lo que tiene residente y lanza en claves de registro...

saludos

ms, 9-3-2006

menhdel · Mensaje por **menhdel** » 09 Mar 2006, 19:46

Bien, pues ya está hecho, aquí va el log:

Logfile of HijackThis v1.99.1

Scan saved at 19:39:01, on 09/03/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Arovax Shield\ArovaxShield.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.007\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Arovax Shield] C:\Archivos de programa\Arovax Shield\ArovaxShield.exe /h

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\RunServices: [] mozilla.exe

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &eBay Search - res://C:\Archivos de programa\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Archivos de programa\LingoCom\Translator.lnk (file missing)

O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Archivos de programa\LingoCom\Translator.lnk (file missing)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{50A00E8F-F05B-4B77-96F4-838A37C3FB22}: NameServer = 195.235.113.3 195.235.96.90

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Mensaje por **msc hotline sat** » 09 Mar 2006, 21:47

Le faltan todos los parches de microsoft. Actualice con windowsupdate !!!

Elimina estas claves: (Arranque en moido seguro, lance el HJT, marque estas claves y elkiminelas con FIX)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)

O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Archivos de programa\LingoCom\Translator.lnk (file missing)

O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Archivos de programa\LingoCom\Translator.lnk (file missing)

Y tras reiniciar comentenos los resultados, gracias

saludos

ms, 9-3-2006

menhdel · Mensaje por **menhdel** » 09 Mar 2006, 23:28

Bueno, pues he seguido los pasos al pié de la letra, y de momento parece que solo funciona a la mitad. Es decir, me siguen saliendo los mensajes en inglés que ponen "messenger service", pero los de symantec parece que ya no. Intentaré instalar las actualizaciones de windows, aunque con mis 56 kbps mal van a bajar :x

Mensaje por **msc hotline sat** » 09 Mar 2006, 23:50

Bueno, los del messenger es por el mensajero de las narices, tranquilo:

______________

Eliminar mensajes de publicidad del messenger:

La solución más sencilla es utilizar la herramienta ShootTheMessenger que proporciona gratuitamente en su web Steve Gibson.

http://grc.com/files/shootthemessenger.exe

ejecutarla y pulsar en el botón donde pone "Disable de Messenger" y problema solucionado.

_____________

pruebalo y, si no te va bien, lo haríamos manualmente.

Tras reiniciar nos cuentas el resultado, gracias

saludos

ms, 9-3-2006

menhdel · Mensaje por **menhdel** » 10 Mar 2006, 19:24

Bueno, aquí estoy otra vez. Pues lo último que me has pasado ha dado resultado con los de messenger esos... pero los de symantec me siguen saliendo y, además, se me ha vuelto a reniciar el ordenador solito... por si acaso, recuerdo que esto me pasa únicamente cuando estoy conectado.

Gracias por la ayudas hasta ahora dadas ^___^

Mensaje por **msc hotline sat** » 10 Mar 2006, 19:58

Pues postea de nuevo un log de HJT actual y lo analizaremos, a ver si ha quedado algun resto...

saludos

ms, 10-3-2006

menhdel · Mensaje por **menhdel** » 10 Mar 2006, 21:34

Pues ahí va otra vez...

Logfile of HijackThis v1.99.1

Scan saved at 21:26:36, on 10/03/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Arovax Shield\ArovaxShield.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Arovax Shield] C:\Archivos de programa\Arovax Shield\ArovaxShield.exe /h

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\RunServices: [] mozilla.exe

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &eBay Search - res://C:\Archivos de programa\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{50A00E8F-F05B-4B77-96F4-838A37C3FB22}: NameServer = 195.235.113.3 195.235.96.90

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Mensaje por **msc hotline sat** » 11 Mar 2006, 05:43

NO HAY NINGUN PARCHE DE MICROSOFT INSTALADO. Debe actualizarlos lanzando un windowsupdate

Estas claves no deberian estar, pruebe eliminarlas , y compruebe que lo haya logrado, aunque podría ser que hasta que no hayamos eliminado los bichos ocultos, no lo logre...

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll (file missing)

y dada la persistencia del problema, creemos oportuno analizar este fichero:

C:\WINDOWS\BDE\b3dsetup.Exe

que podría ser un adware no controlado. Envienoslo anexado a un mail dirigido a zonavirus@satinfo.es en cuyo texto nos indique como referencia "REF BRILLIANT" y lo analizaremos e informaremos

y como que esta clave no la conocemos ni como buena ni como mala:

O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe

envienos tambien, en el mismo mail, dicho fichero MSDNSD32.exe, no sea que sea mas de lo mismo ...

A veces se resisten, pero todos acaban cayendo ...!!!

PERO RECUERDE ACTUALIZAR LOS PARCHES, QUE YA EN OTRO POST ANTERIOR SE LO INDICABAMOS !!!

saludos

ms, 11-3-2006

menhdel · Mensaje por **menhdel** » 12 Mar 2006, 05:34

Vale vale, gracias por todo... lo de los parches, simplemente que tenía el windows update desactivado, la verdad, no recuerdo por qué, y yo tan feliz :roll: Activado está, parches descargándose y mañana envio los archivos (que las horas que son no es normal... las 5 y media de la madrugada, por dios...)

Solo anotar que hoy en todo el día no me han salido en ningún momento mensajes de ningún tipo ni se ha llegado a reiniciar el pc, pero si al encender me aparecen mensajes de direcciones que me piden conexión, así que bicho, haberlo lo hay :evil:

Saludos :P

Mensaje por **msc hotline sat** » 12 Mar 2006, 08:18

Sí, yo el sábado y Vd el domingp, hemos sido madrugadores...

A ver si es verdad que a quien madruga, Dios le ayuda, y acertamos con el bicho !

En cuanto lleguemos mañana al trabajo lo examinaremos e infomaremos en consecuencia

saludos

ms, 12-3-2006

Mensaje por **msc hotline sat** » 12 Mar 2006, 08:28

Oppppps!

Al dar otro vistazo al log, he visto otro sospechoso cuya descripcion puede coincidir con la de este virus:

http://www.sophos.com/virusinfo/analyses/w32rbotcmz.html

Con la misma referencia BRILLIANT, qie tenemos abierta para este Tema, envienos ademas este otro fichero que tiene probabilidades de ser bicho:

MSDNSD32.exe

ya sabe, anexado a un mail...

CREO QUE VA A SER VERDAD LO DE QUE A QUIEN MADRUGA..., aunque hoy domingo no sea tan pronto !!!

saludos

ms, 12-3-2006

Mensaje por **msc hotline sat** » 12 Mar 2006, 08:45

y efectivamente es de los que entra por falta de parches...

[quote="sophos"]
W32/Rbot-CMZ

Summary

Summary Description Recovery Advanced Prevalence: low high

Name W32/Rbot-CMZ

Type Spyware Worm

How it spreads Network shares

Affected operating systems Windows

Side effects Allows others to access the computer

Steals information

Downloads code from the internet

Reduces system security

Records keystrokes

Installs itself in the Registry

Exploits system or software vulnerabilities

Used in DOS attacks

Protection Download virus identity (IDE) file

Protection available since 7 March 2006 21:16:42 (GMT)

Included in our products from April 2006 (4.04)

More information on IDE files What are IDE files?

How to use IDE files

Get the latest IDE files

Staying up to date

EM Library provides fully automated updating of Sophos Anti-Virus on a wide range of platforms. If you're using one of our enterprise solutions and aren't already using EM Library, check it out now. Users of our small business solutions are automatically updated by Sophos AutoUpdate.

Description

Summary Description Recovery Advanced This section helps you to understand how it behaves

W32/Rbot-CMZ is a network worm with backdoor Trojan functionality for the Windows platform.

W32/Rbot-CMZ spreads using a variety of techniques including:

-exploiting weak passwords on computers and SQL servers

-exploiting operating system vulnerabilities, including LSASS (MS04-011), WKS (MS03-049) (CAN-2003-0812) and ASN.1 (MS04-007)

-using backdoors opened by other worms or Trojans.

W32/Rbot-CMZ can be controlled by a remote attacker over IRC channels. The backdoor component of W32/Rbot-CMZ can be instructed by a remote user to perform various functions.

Recovery

Summary Description Recovery Advanced This section tells you how to disinfect.

Please follow the instructions for removing worms.

Advanced

Summary Description Recovery Advanced This section is for technical experts who want to know more.

W32/Rbot-CMZ is a network worm with backdoor Trojan functionality for the Windows platform.

The worm copies itself to a file named msdnsd32.exe in the Windows system folder and creates the following registry entries:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MS Domain Name Server Deamon

MSDNSD32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

MS Domain Name Server Deamon

MSDNSD32.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

MS Domain Name Server Deamon

MSDNSD32.exe

W32/Rbot-CMZ spreads using a variety of techniques including:

-exploiting weak passwords on computers and SQL servers

-exploiting operating system vulnerabilities, including LSASS (MS04-011), WKS (MS03-049) (CAN-2003-0812) and ASN.1 (MS04-007)

-using backdoors opened by other worms or Trojans.

W32/Rbot-CMZ can be controlled by a remote attacker over IRC channels. The backdoor component of W32/Rbot-CMZ can be instructed by a remote user to perform the following functions:

start an FTP server

start a Proxy server

start a web server

take part in distributed denial of service (DDoS) attacks

log keypresses

capture screen/webcam images

packet sniffing

port scanning

download/execute arbitrary files

start a remote shell (RLOGIN)

steal product registration information from certain software
[/quote]

saludos

ms, 12-3-2006

menhdel · Mensaje por **menhdel** » 12 Mar 2006, 21:02

Mecachis... me siento analfabeto... no encuentro en el pc lo que me pides :oops: igual es que soy un poco topo, pero no encuntro ninguno de esos dos archivos... y eso que puedo ver los ocultos (vamos, que si estuvieran ocultos, los veria...) que hago? :|

Mensaje por **msc hotline sat** » 12 Mar 2006, 21:19

Aparte de ver ficheros ocultos, desmarca la opcion de ocultar ficheros de sistema, pues sino, los marcados con atributo S no los verias

Ademas, arranca en modo seguro, para que no esten en uso, pues hay procesos que al estar en memoria ocultan sus ficheros

Es importante qie los localices para poderlos enviar y asi los podamos analizar...

saludos

ms, 12-3-2006

menhdel · Mensaje por **menhdel** » 13 Mar 2006, 18:47

Aquí estoy otra vez dando la vara :lol: bueno, el mail con uno de los archivos está enviado, como vereis cuando llegue. No he podido encontrar el otro, como ya digo en el mail.

Bueno, ahora espero indicaciones :wink: solo hacer un pequeño apunte, y es que me están surgiendo nuevos problemas... el ordenador se me ha bloqueado dos veces (solo podia mover el raton), algunos programas se cierran sin razón aparente... a ver si si tiene que ver :evil:

Mensaje por **msc hotline sat** » 13 Mar 2006, 18:56

No nos ha dado tiempo a monitorizarlo hoy, pero será el primero que haremos mañana, De hecho ya hemos empezado...

saludos

ms, 13-3-2006

Mensaje por **msc hotline sat** » 14 Mar 2006, 16:56

Ya se ha subido a esta web la version 1.95 del ELITRIIP para controlar la muestra enviada:

---v1.95---(14 de Marzo del 2006) (Muestra de Sdbot.worm.gen.AS "MSDNSD32.EXE")

Pruebelo y nos informa delñ resultado, gracias

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

saludos

ms, 14-3-2006

menhdel · Mensaje por **menhdel** » 17 Mar 2006, 02:10

Buenas de nuevo :D . He dado un par de días de tiempo para ver como me iba el pc y si seguía teniendo fallos; bien, le pasé el Elitriip, y creo que recordar que me detaectó algo y lo eliminó, pero aun así, sigo teniendo un par de problemas. El primero es que al inicio, cuando todavia no he conectado, me salen mensajes que me piden conexión a sitios bastante extraños (creo que esto ya lo dije anteriormente). El otro problema es que sin motivo aparente se me cierran de repente procesos, que además suelen ser siempre los mismos (jusched.exe, OSA.exe, explorer.exe y el MSN Messenger). Bueno, ahí queda eso, a ver que se puede hacer :roll:

Mensaje por **msc hotline sat** » 17 Mar 2006, 13:08

Pues posteanbos el log del HJT, a ver si tienes algun resto o algo descontrolado:

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Lo analizaremos e informaremos

saludos

ms, 17-3-2006

menhdel · Mensaje por **menhdel** » 17 Mar 2006, 15:35

Muy bien, pues aquí va:

Logfile of HijackThis v1.99.1

Scan saved at 15:27:44, on 17/03/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Arovax Shield] C:\Archivos de programa\Arovax Shield\ArovaxShield.exe /h

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\RunServices: [] mozilla.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: &eBay Search - res://C:\Archivos de programa\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{50A00E8F-F05B-4B77-96F4-838A37C3FB22}: NameServer = 195.235.113.3 195.235.96.90

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

No se si se está alargando mucho el problema, espero que no sea una molestia :?

Mensaje por **msc hotline sat** » 17 Mar 2006, 16:52

Empiece por lanzar un windowsupdate !!! No tiene ningun parche instalado, tiene windows como vino al mundo desnudo ante el pelugro y asi no se puede usar, debem aplicarse las mas de 100 mejoras que instalan los parches, especialmente contra los agyjerios de seguridad y vulnerabilidades,

Ya no habría razon de seguir, pues sin ellos, aunque elimine o restaure cleves es inutil, pero entendemos que primero instalarñla los parches y luego corregirá lo siguiente:

Elimine estas claves:

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)

O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab

(Si usa el KaZaa, al eliminarla no le funcionará, pero es ella o mantener el spy !!!)

Tras ello, reinicie y nos comenta el resultado, gracias

saludos

ms, 17-3-2006

menhdel · Mensaje por **menhdel** » 19 Mar 2006, 16:12

Que no tengo los parches de windows update? Pues me parece raro, por que hace ya varios días que descargué e instalé todos los que me aparecían... no se, voy a ver que puedo hacer, pero ya digo, me parece raro :?

Mensaje por **msc hotline sat** » 19 Mar 2006, 21:41

Pues el log del HJT lo indica bien claro !:

[quote]Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)[/quote]

Reviselo, que puede que esté contento y engañado !

lance un windowsupdate y saldrá de dudas al ver los que le faltan

saludos

ms, 19-3-2006