Bloqueada La Activación de Norton Antivirus (SOLUCIONADO)

seba1979 · Mensaje por **seba1979** » 16 Mar 2006, 02:40

Aparentemente algún archivito intruso ha entrado en mi computadora y ha afectado el funcionamiento de mi Norton Antivirus 2005.

Lo DESACTIVO forzozamente. Y ahora no me deja volver a activarlo, el sólo hecho de presionar el Botón "Siguiente" en el Menú de Activación, cuelga la VENTANA y me obliga a cerrar.

Le hice un OnLine Scan con el Panda Software, Ad-Aware y Spybot, todo lo que apareció fue eliminado del sistema, pero de todas formas el problema persiste, NO PUEDO ACTIVAR MI ANTIVIRUS.

Aquí pego el resúmen del HijackThis en MODO NORMAL. Y espero me puedan ayudar a encontrar al intruso que todavía me está impidiendo hacer funcionar el tan necesario Antivirus.

Logfile of HijackThis v1.99.1

Scan saved at 10:27:04 p.m., on 15/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Ewido Security Suite\ewidoctrl.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hattrick.org/Common/default.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NexusServer] "C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{40F22653-7DC6-4B74-905C-99924FD4E110}: NameServer = 200.42.97.110 200.42.0.110

O17 - HKLM\System\CCS\Services\Tcpip\..\{B49DF6C2-2468-421D-85E4-953827E71918}: NameServer = 168.95.1.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\Ewido Security Suite\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

seba1979 · Mensaje por **seba1979** » 16 Mar 2006, 03:12

Log del Panda Antivirus (OnLine ActiveScan), lo incluyo por si ayuda a clarificar un poco mi problema.

Para cada uno de los párrafos siguientes, se indica:

1) Incident

2)

Status (Disinfected/Not Disinfected)

3) Location

Adware:adware/powerstrip

Not disinfected

Windows Registry

Spyware:Cookie/888 Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@888[1].txt

Spyware:Cookie/Com.com Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@bannerlandia.com[1].txt

Spyware:Cookie/Belnk Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@belnk[1].txt

Spyware:Cookie/Cassava Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@cassava[1].txt

Spyware:Cookie/Belnk Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@dist.belnk[2].txt

Spyware:Cookie/fe.lea.lycos Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@fe.lea.lycos[1].txt

Spyware:Cookie/Searchportal Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@searchportal.information[1].txt

Virus:Bck/IRCbot.UV Disinfected

C:\Documents and Settings\Usuario\Configuración local\Temp\39exmodulau.exe

Virus:Bck/IRCbot.UV Disinfected

C:\Documents and Settings\Usuario\Configuración local\Temp\47exmodulau.exe

Virus:Bck/IRCbot.UV Disinfected

C:\Documents and Settings\Usuario\Configuración local\Temp\51exmodulau.exe

Virus:Bck/IRCbot.UV Disinfected

C:\Documents and Settings\Usuario\Configuración local\Temp\99exmodulau.exe

Spyware:Cookie/Belnk Not disinfected

C:\Documents and Settings\Usuario\Configuración local\Temp\Cookies\usuario@belnk[1].txt

Spyware:Cookie/Belnk Not disinfected

C:\Documents and Settings\Usuario\Configuración local\Temp\Cookies\usuario@dist.belnk[2].txt

Spyware:Cookie/888 Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@888[1].txt

Spyware:Cookie/Com.com Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@bannerlandia.com[1].txt

Spyware:Cookie/Belnk Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@belnk[1].txt

Spyware:Cookie/Cassava Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@cassava[1].txt

Spyware:Cookie/Belnk Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@dist.belnk[2].txt

Spyware:Cookie/fe.lea.lycos Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@fe.lea.lycos[1].txt

Spyware:Cookie/Searchportal Not disinfected

C:\Documents and Settings\Usuario\Cookies\usuario@searchportal.information[1].txt

Potentially unwanted tool:Application/Processor

Not disinfected

C:\Mis Documentos\Software - Programas\Limpiar PC\SmitRem\smitRem\Process.exe

Potentially unwanted tool:Application/Processor

Not disinfected

C:\Mis Documentos\Software - Programas\Limpiar PC\smitRem.exe[Process.exe]

Potentially unwanted tool:Application/Processor

Not disinfected

C:\Mis Documentos\Software - Programas\Limpiar PC\SpyAxeFix\SpyAxeFix\Process.exe

Potentially unwanted tool:Application/Processor

Not disinfected

C:\Mis Documentos\Software - Programas\Limpiar PC\SpyAxeFix.exe[Process.exe]

Possible Virus. Not disinfected C:\WINDOWS\system\smss.exe

Mensaje por **msc hotline sat** » 16 Mar 2006, 09:14

Esta muy claro lo que te pasa, lo extraño es que no te lo detecte el antivirus:

http://vil.nai.com/vil/content/v_138575.htm

este backdoor deshabilita los cortafuegos

Arranca en modo seguro y elimina estas claves:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hattrick.org/Common/default.asp

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

Pero como que por la descripcion vemos que modifica muchas mas claves, no visibles con el HJT, envianos muestra del fichero C:\WINDOWS\system32\nvsvcd.exe

e implementaremos su control y eliminacion completa en el ELITRIIP

Para enviarnos la muestra, envianos el fichero anexado a un mail a zonavirus@satinfo.es en cuyo texto indiques referencia REF CXT y tras analizarlo, implementaremos su control y eliminacion en el ELITRIIP.EXE

Logicamente, sin eliminarlo totalmente no podrás eliminar dicho servicio

saludos

ms, 16-3-2006

seba1979 · Mensaje por **seba1979** » 16 Mar 2006, 18:33

Habiendo Eliminados las claves indicadas en la Respuesta anterior, me di cuenta que de todas formas hay más claves que hacen referencia a nvsvcd.exe y a smss.exe

Mi pregunta es si estos dos archivos son Archivos propios del Troyano CXT o son archivos pertenecientes a Windows que fueron infectados por el Troyano.

He enviado el Mail con el NVSVCD.exe adjunto tal como fue solicitado. Espero lo hayan recibido.

Gracias y espero su respuesta!

Mensaje por **msc hotline sat** » 16 Mar 2006, 18:39

Nuestros tecnicos de la web terminan su jornada a las 18:30 y mañana nos darám el fichero en cuestion

De todas formas por teoria hemos implementado en una nueva version del ELITRIIP 1,96 la eliminacion de esta nueva variante, a la espera de la muestra y comprobar si es suficiente

En 20 minutos estará subida a esta web. Pruebela

saludos

ms, 16-3-2006

Mensaje por **msc hotline sat** » 16 Mar 2006, 18:55

Disponible la 1,95 del ELITRIIP en el foro:

---v1.95---(14 de Marzo del 2006) (Muestra de Sdbot.worm.gen.AS "MSDNSD32.EXE")

Pruebalo y nos comentas el resultado. Nosotros malana comprobaremos la eliminacion de la muestra cuando nos la entreguen para monitorizar, y ,mejoraremos si es necesario el control teorico con la deteccion por cadenas y demas posibles acciones no documentadas

saludos

ms, 16-3-2006

seba1979 · Mensaje por **seba1979** » 17 Mar 2006, 06:17

Habiendo ejecutado el ELITRIIP 1.96, arrojó el siguiente resultado (a continuación LOG):

~~[b]~~

Thu Mar 16 16:23:36 2006

EliTriIP v1.96 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\DOCUME~1\USUARIO\CONFIG~1\TEMP\NVSVCD.EXE.Muestra EliTriIP v1.96

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVSVCD.EXE --> Eliminado

Thu Mar 16 16:24:43 2006

EliTriIP v1.96 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\SiSport.sys --> Eliminado, RootKit

Thu Mar 16 16:29:46 2006

EliTriIP v1.96 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\RECYCLER\NPROTECT\00009737.sys --> Eliminado, RootKit

[/b]

ELITRIIP 1.96 ha encontrado y eliminado el Backdoor CXT, pero lamentablemente el Antivirus sigue sin poder ser ACTIVADO. Se sigue colgando al intentar Activar.

Saludos y espero su respuesta.

Mensaje por **msc hotline sat** » 17 Mar 2006, 07:12

Ya te adelanté que era una version por teoria, con la muestra haremos la version por cadenas

saludos

ms, 17-3-2006

Mensaje por **msc hotline sat** » 17 Mar 2006, 10:16

Recibida la muestra. entra en proceso de monitorizacion

Al releer el Tema para el expediente del analisis, vemos que indicaba:

"me di cuenta que de todas formas hay más claves que hacen referencia a nvsvcd.exe y a smss.exe"

Al respecto decir que el fichero nvsvcd.exe no es del sistema operativo de windows, por lo que los que enciuentre en su ordenador posiblemente sean de este gusano. Si los hay, indiquenos donde los encuentra.

Sobre el smss.exe si que lo hay del sistema en la carpeta de windows\system32 sw XP, que no tiene nada qe ver con el fichero que crea el gusano en c:\windows\system, que no es la carpeta de sistema, fijarse en la diferencia de las rutas que una termina en systwm 32 y la otra solo en system, en la cual copia el gusano.

tras el analisis, informaremos y mejoraremos en cualquier caso la utilidad ELITRIIP con la deteccion por cadenas, que encontrará los ficherps gusano dondequiera que se escondan

saludos

ms, 17-3-2006

Mensaje por **msc hotline sat** » 17 Mar 2006, 12:08

Subida la nueva version 1.97 de la utilidad ELITRIIP.EXE que controla al gusano que nos ocupa segun cadenas de la muestra

---v1.97---(17 de Marzo del 2006) (Muestra de BackDoor.CMQ "NVSVCD.EXE")

Descarguerla, pruebela e informenos del resultado, gracias

saludos

ms, 17-3-2006

seba1979 · Mensaje por **seba1979** » 17 Mar 2006, 18:58

Habiendo Ejecutado ELITRIIP 1.97 tanto en Modo Normal como en Modo Seguro, se detectaron y eliminaron los siguientes elementos:

~~[b]~~

Fri Mar 17 14:02:27 2006

EliTriIP v1.97 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NETF.DLL --> Eliminado

Fri Mar 17 14:14:05 2006

EliTriIP v1.97 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\RECYCLER\NPROTECT\00009736.EXE --> Eliminado, BackDoor.CMQ (IRCBot)

[/b]

Todo lo relacionado con NVSVCD en el Registro de Windows fue eliminado. Por lo poco que entendí eran claves referidas a simples BUSQUEDAS hechas recientemente que quedan registradas.

Desinstalé Norton Antivirus 2005 luego de la ejecución de ELITRIIP y lo volví a Instalar.

Lamentablemente sigue sin dejarme Activar el Producto.

No sé si sea de utilidad, pero vuelvo a colocar el LOG del Hijack This a ver si ustedes pueden encontrar anomalías. Evidentemente algo sigue habiendo en mi sistema.

~~[b]~~

Logfile of HijackThis v1.99.1

Scan saved at 02:50:10 p.m., on 17/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Ewido Security Suite\ewidoctrl.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hattrick.org/Common/default.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NexusServer] "C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Archivos de programa\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{40F22653-7DC6-4B74-905C-99924FD4E110}: NameServer = 200.42.97.110 200.42.0.110

O17 - HKLM\System\CCS\Services\Tcpip\..\{B49DF6C2-2468-421D-85E4-953827E71918}: NameServer = 168.95.1.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\Ewido Security Suite\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

[/b]

Muchas Gracias.

Mensaje por **msc hotline sat** » 17 Mar 2006, 20:51

Para dejar el log bien limpio, elimine esta clave:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hattrick.org/Common/default.asp

Ahora bien, hay un proceso que aunque no sea malware, no es habitual:

PNXSERVR.exe

correspondiente a esta clave:

O4 - HKLM\..\Run: [NexusServer] "C:\Archivos de programa\Archivos comunes\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch

Sin decirle que lo elimine, vea de informarse sobre que hace y si le es necesario, no sea que le incordie

Lo que sabemos es: http://www.exefileinformation.com/PNXSERVR.exe.html

y por ultimo, tiene configurado un servidor de DNS de Taiwan que resulta sospechoso:

168.95.1.1 TW Taiwan 04 T'ai-wan Mengcheng 23.1167 120.3667 CHTD, Chunghwa Telecom Co., Ltd. CHTD, Chunghwa Telecom Co., Ltd.

Como que por otro lado tiene dos normales de su pais, si no sabe nada al respecto, elimine esta clave. no sea que le lleven "al huerto":

O17 - HKLM\System\CCS\Services\Tcpip\..\{B49DF6C2-2468-421D-85E4-953827E71918}: NameServer = 168.95.1.1

Y tras reiniciar, nos comenta el resultado, undicandonos si ha hecho algo con PNXSERVR.exe, gracias

saludos

ms, 17-3-2006

seba1979 · Mensaje por **seba1979** » 17 Mar 2006, 23:23

Habiendo seguido al pie de la letra sus indicaciones, vuelvo a postear el Log del HijackThis.

Desinstalé el Programa Canopus Procoder porque ya no lo utilizaba, eliminando por completo PNXSERVR.exe del sistema.

~~[b]~~

Logfile of HijackThis v1.99.1

Scan saved at 07:18:15 p.m., on 17/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Ewido Security Suite\ewidoctrl.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\Ewido Security Suite\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

[/b]

Agradecería me confirmen si quedó limpio en su totalidad.

Mensaje por **msc hotline sat** » 18 Mar 2006, 07:24

Efectivamente, el log está totalmente limpio, pero me parece que hasta te pasaste, pues en el grupo 017 no veo el servidor de DNS de tu pais, te dije que de las dos eliminaras la de Taiwan, pero que dejaras la otra:

O17 - HKLM\System\CCS\Services\Tcpip\..\{40F22653-7DC6-4B74-905C-99924FD4E110}: NameServer = 200.42.97.110 200.42.0.110

O17 - HKLM\System\CCS\Services\Tcpip\..\{B49DF6C2-2468-421D-85E4-953827E71918}: NameServer = 168.95.1.1

y has borrado las dos !!!, Ya puedes navegar ???

Respondenos al repecto asi como si se ha solucionado el problema de la activacion del Norton, gracias

saludos

ms, 18-3-2006

seba1979 · Mensaje por **seba1979** » 18 Mar 2006, 21:15

Hola!

No es que haya borrado las dos 017.

Sólo eliminé la de Taiwan, quizás la otra no aparece porque cuando ejecuté Hijack la última vez no estaba conectado a Internet, de ahí que no figure esa conexión.

Lamentablemente NO PUEDO ACTIVAR el Norton Antivirus, y ya no sé que más intentar, si cambiarme de Antivirus o no sé que otra opción me queda.

Saludos.

Mensaje por **msc hotline sat** » 18 Mar 2006, 21:25

Aunque sea por ultima vez, tras eliminar lo que podia incordiar, pruebe de desinstalarlo y reinstalarlo de nuevo, y cuentenos el resultado

Ahora ya no tiene nada raro !!!

saludos

ms, 18-3-2006

seba1979 · Mensaje por **seba1979** » 19 Mar 2006, 02:58

No hay manera.

Se instala el Norton 2005, se reinicia el sistema y al iniciar, el siguiente paso es la activación, en ese momento se puede ver que el programa se está ejecutando con ciertas dificultades, porque la ventana de activación tarda en hacerse visible, puede demorar como 10 minutos.

Repentinamente aparece, tarde, pero aparece. Presiono siguiente selecciono Activar Sin Registrar, presiono Siguiente de nuevo y ahi se muere, no avanza más. Luego, CTRL+ALT+DEL y cierro la ventana completamente congelada.

Ya no entiendo por qué no quiere Activarse.

Mensaje por **msc hotline sat** » 19 Mar 2006, 09:26

Pues ya no es por ningun malware que tenga omnstalado, por lo que o es alguna aplicacion residente que colisiona con este antivirus, como puede ocurrir con cualquier otro residente, o es un problema de degradacion de memorias que no admiten la posicion que quiere uitilizar dicha aplicacion

Pruebe con otro antivirus o detenga otros procesos en memoria, (que no sean de sistema, claro) con el Administrador de Tareas, o vea de intercambiar las memorias por las de otro ordenador similar para hacer la prueba

Y nos comenta sus progresos al respecto. gracias

saludos

ms, 19-3-2006

seba1979 · Mensaje por **seba1979** » 20 Mar 2006, 02:58

Me vi obligado a cambiar el Antivirus por otro.

¿ Tienes conocimiento si el Antivirus AVG 7.1 de Grisoft es confiable ?

Link a continuación...

[url]http://www.grisoft.com/doc/10/lng/us/tpl/tpl01[/url]

Cualquier opinión que tengas sobre ese Antivirus me gustaría conocerla.

Atte.

Mensaje por **msc hotline sat** » 20 Mar 2006, 04:55

El AVG lo piede descargar de nuestra web, y si lo escoje, aproveche el tutorial:

[color=darkblue]~~[b]~~· Grisoft (AVG)[/b][/color]

Antivirus gratis, solo para uso particular, solo tendras que entrar un pequeño formulario tu nombre, apellido y correo donde inmediatamente se te enviara el número de serie necesario para el registro del programa

[url=http://www.zonavirus.com/datos/descargas/14/AVG_Free_Edition.asp]~~[b]~~Descargar AVG gratis[/b][/url]

tutorial AVG:

http://www.ayuda-internet.net/tutoriales/manu-avg/manu-avg.html

Y al respecto de opiniones, como antivirus gratis para uso personal es lo que hay, no se puede comparar con uno de los de pago como Norton, Trend io McAfee oier ejemplo, claro.

Y para mas orientacion, derivo este Tema al que tenemos abierto para ello en:

https://foros.zonavirus.com/viewtopic.php?t=5051

y damos por solucionado este Tema en consecuencia y procedemos a cerrarlo

saludos

ms, 20-3-2006

Bloqueada La Activación de Norton Antivirus (SOLUCIONADO)

Bloqueada La Activación de Norton Antivirus (SOLUCIONADO)

Log del Panda Antivirus (OnLine ActiveScan)

Backdoor CXT.

ELITRIIP 1.96

Aún no es posible Activar Norton Antivirus.

Limpiando LOG.

Sin Solución.

Sin Activación.

Cambio de Antivirus.