explorer.exe cansadisima ya...ayuda

tamega · Mensaje por **tamega** » 14 Abr 2006, 13:46

:D Hola muy buenas,os cuento lo que me sucede desde hace teimpo,bien cada vez que intento abrir un archivo donde hay fotos en mi ordendor, se me queda bloqueado,cuando quiero buscar archivos y carpetas tambien se me qda blqeado,e incluso cuando intento crear una nueva carpeta tambien s eme qda blqoeado :S :( , nose que podra ser,a todo ello siempre me pone "explorer.exe" debe cerrarse,

lei por ahi q puede ser un troyano un virus de esos :S,o fallo del la instalacion,ya reinstale y nada todo igual,y la verdad q j**e muchisimo esto,no hay anda de gans de vovler a formatear

exites alguan solucion o algo,pase unos pocos de antivirus,y mal norecuerdo kapersky me detecto algo ene l sistem pero no me atrevir darle a reparar por si me jodia ya del todo el sistema... no se si podria ahcerlo,por cierto el kapersky relentiza mucho el ordenador,e leido por ahi q tambien algo del haijackthis, q peude ser q teng aunespia o no se,pero no tengo ni idea ustedes sabran ams que yo

Ayuda ,gracias de antemano,casadisimaaa....ufff :cry:

Mensaje por **msc hotline sat** » 14 Abr 2006, 13:53

Cuentanos el resultado de lanzar este antivirus ONLINE:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y si no encuentra nada, sigue las instrucciones y posteanos el log del HJT:

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

saludos

ms, 14-4-2006

tamega · Mensaje por **tamega** » 14 Abr 2006, 15:22

:D Buenas ante todo felicitar a esta pagina web,grcias apersoans como vosotros,por ayudar.

Bueno he escaneado como dijisteis en la pagina ONLINE,y no aparece nada,esta limpio.

Como se manejaria el hikack this?

Muchas grcias, a la espera de hacer paso y de lo que me digais

:P saludos

tamega · Mensaje por **tamega** » 14 Abr 2006, 15:25

Le di donde me dijisteis y me aparecio lo siguiente,eso :S

Logfile of HijackThis v1.99.1

Scan saved at 15:23:10, on 14/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\SinEspias\No-Spy.exe

C:\WINDOWS\SYSTEM32\USRshutA.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\SYSTEM32\USRmlnkA.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\WINDOWS\system32\hphmon05.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\usuario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 87.252.2.31 L2authd.lineage2.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [h3yb0y] C:\WINDOWS\SYSTEM32\DRIVERS\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\service.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\conf.dll

O4 - HKLM\..\Run: [h3yb0y1] C:\WINDOWS\SYSTEM32\DRIVERS\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\system.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\serv-u.ini

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HPHUPD05] C:\Archivos de programa\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Kodak software updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144932414078

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter: text/html - (no CLSID) - (no file)

O20 - AppInit_DLLs: Runner.dll,Runner.dll,Runner.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Gracias :lol:

Mensaje por **msc hotline sat** » 14 Abr 2006, 21:34

Arranca en modo seguro, lanza el HJT y marca estas claves, y eliminalas con FIX:

O4 - HKLM\..\Run: [h3yb0y] C:\WINDOWS\SYSTEM32\DRIVERS\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\service.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\conf.dll

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

O4 - HKLM\..\Run: [h3yb0y1] C:\WINDOWS\SYSTEM32\DRIVERS\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\system.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\serv-u.ini

O18 - Filter: text/html - (no CLSID) - (no file)

O20 - AppInit_DLLs: Runner.dll,Runner.dll,Runner.dll

envianos estos ficheros a zonavirus@satinfo.es anexados a un mail en cuyo texto indiques referencia "REF WEBUS"

C:\WINDOWS\SYSTEM32\DRIVERS\etc\LSASS.exe

C:\WINDOWS\SYSTEM32\DRIVERS\etc\system.exe

C:\WINDOWS\SYSTEM32\DRIVERS\etc\serv-u.ini

C:\WINDOWS\SYSTEM32\DRIVERS\etc\service.exe

C:\WINDOWS\SYSTEM32\DRIVERS\etc\conf.dll

c:\windows\system32\Runner.dll

Luego lanza el ELISTARA a ver si encuentra algo mas, fuera de la zona del log:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

y a continuacion (no antes), lanza el LPSFIX para arreglar todas las entradas 010 que no deben elimimarse manualmente:

http://www.cexx.org/LSPFix.exe

y tras reiniciar., nos cuentas el resultado, gracias

saludos

ms, 14-4-2006

NOTA: Lo suyo no era virus sino troyanos.

Ver http://www.symantec.com/avcenter/venc/data/trojan.webus.b.html

tamega · Mensaje por **tamega** » 15 Abr 2006, 01:12

hola ahora que recuerdo,una vez instale un juego, el lienage por cierto,me dijeron q tenia q poner tal archivo host, en la carpeta SISTEM32/DRIVERS/ETC ahi la cosa q el jego no lo pude poner porque ami esa carpeta no me aparecia,cierto ni en modo oculto tampoco,nose porque seria lo digo porque ahi aparece lo de ETC,,por eso nu se ,solo decir eso,por si sirve de algo ,y como os mando esos archivos entonces :S,

Gracias :wink:

Mensaje por **msc hotline sat** » 15 Abr 2006, 09:00

Lo de ETC es una carpeta que cuelga de la de DRIVERS en la que se han metido estos ficheros malwares

y ya te deciamos como enviarnos dichos

ficheros

[quote]
envianos estos ficheros a zonavirus@satinfo.es anexados a un mail en cuyo texto indiques referencia "REF WEBUS"
[/quote]

saludos

ms, 15.4.2006

tamega · Mensaje por **tamega** » 15 Abr 2006, 13:50

Hola, lo siento pero no entiendo,a mi no me aparece en drivers,esa carpeta,asi no podre enviar los ficheros,toy perdida.... y mmm q significa anexado? :oops:

Gracias

tamega · Mensaje por **tamega** » 15 Abr 2006, 13:57

Esos archivos, no me los podria pasar alguien,que pasaria? y creo yo la carpeta? :S

Mensaje por **msc hotline sat** » 16 Abr 2006, 06:57

:lol: :lol: :lol:

Se aprecia tu buena intencion, pero cómo quieres que alguien te pase ficheros viricos voluntariamente, y para qué ???

Vamos a ver:

La carpeta ETC dentro de la de DRIVERS que cuelga de la de sistema, existe normalmente el XP y es donde existe el HOSTS, fichero del sistema.

Si no puedes acceder a ella es, o que la has borrado o que está oculta.

Si dices que ya en su día quisiste acceder a dicha carpeta y no existía ??? quizas ya tenias el malware instalado o tenías deficiencias en el sistema operativo ...

Prueba de buscar estos ficheros que te pedimos con un INICIO -> BUSCAR y si los encuientras, nos los envias, o al menos, los que te indique el ELISTARA, si es el caso.

Y anexar es enviar el o los ficheros adjuntos al mail

Y si no encuentras los ficheros al menos elimina las claves indicadas

UNA COSA !!! Hay malwares que se ocultan con un ROOTKIT de forma que hace invisibles los ficheros y claves viricos para ocultarse, a ver si es el caso !!!

Prueba de arrancar en modo seghiro con SOLO SIMBOLO DE SISTEMA, y desde DOS mira de llegar a la carpeta ETC y ver lo que hay en ella con:

DIR C:\windows\system32\drivers\etc\*.* /a > c:\informe.txt <ENTER>

y luego, tras arrancar normalmente, nos posteas el contenido del C:\informe.txt____

(Lo abres con el bloc de notas, lo seleccionas <CTRL-E>, copias <CTRL-C>, y pegas <CTRL-V> a tu proximo post)

A la vista de ello podremos aconsejarte alguna alternativa, que por ahora solo es una hipotesis que se me ha ocurrido por si se tratara de un RootKit

saludos

ms, 16-4-2006

tamega · Mensaje por **tamega** » 16 Abr 2006, 16:41

Bueno esto lo q pude hacer,

Utilize como me dijsiteis el HJT,y elimines los fix,bien.

El elistara me detecto Troyano Newdonet,el cual elimino ya,ya no me lo detecta.

lpsfix, no lo entendia muy bien,y ponia en KEEP,

mswsock.dll Tcpip

winrnr.dll NTDS

rsvpsp.dll (Protocol Handler)

y le di a finish.

La carpeta de ETC, no aprece

No se copiar los archivos, q pone en dos no lo entiendo :S aqui os lo escribo si quereis mas detalles decidmelo,os pongo solo los nombres

Lo hice con SIMBOLO DE SISTEMA y en DOS ponia:eso es lo que hay dentro de ETC

FECHA

/03 32.842 BugSlayer.Util.dll

/06 1.118 conf.dll

/04 6.656 cygcrypt-0.dll

/04 1.126.291 cygwin1.dll

/06 13.658 h3yb0y.log

/06 5 h3yb0y.pid

/05 416 h3yb0y.reg

/06 184 h3yb0y.state

/06 184 h3yb0y.stateÑ <--- y una comilla arriba despeus de estate nose ponerla :D como la de la Ñ esa de arriba :lol:

/06 991 hosts

/01 792 hosts.bak

/01 3.429 lmhosts.sam

/01 418 networks

/03 1.185 on.txt

/01 908 protocol

/01 854 quotes

/04 20 rarnew.dat

/05 903 serv-u.ini

/01 7.666 services

19 arvchivos

Otra cosa es que antes me aparecia el icono de MIPC bien,ahor ame aprece en blanco,al igual q algunos deotro programas. :cry:

Bueno aver ahora que pasa.

Sa :) ludos

Mensaje por **msc hotline sat** » 16 Abr 2006, 19:11

Pues ya ves que sí que tienes carpeta ETC dentro de DRIVERS, pero no has hexho nada de lo que te hemos dicho. relee mi post anterior y haz lo que se te indica, pues sino puedes hacer esto, de nada servirá seguir con nuevas instrucciones, y visto que lo hemos de hacer desde DOS, mira de buscar alguien que sepa manejarse y nos pueda seguir , que se supone tendras amigos un poco mas veteranos que puedan copiarnos desde DOS los ficheros que te pediamos, a una carpeta intermedia para luego podernoslos enviar, porque lo que te hemos pedido de ejecutar una instruccion de un DIR redireccionando la salida a un fichero y luego postearnos el contenido de dicho fichero no lo has hecho conforme indicado, ya no seguimos con un MOVE de los ficheros viricos a una carpeta de CUARENTENA , desde donde poder encontrarlos luego para enviarlos, que sería lo siguiemte ...

Tu mismo o haces bien lo indicado anteriormente o mejor buscate un ayudante que sepa un poco de DOS, y pueda hacer lo que pedimos

saludos

ms, 16-4-2006