Equipo lento posible virus o spyware

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
mebarrios01
Mensajes: 2
Registrado: 18 May 2006, 18:01

Equipo lento posible virus o spyware

Mensaje por mebarrios01 » 19 May 2006, 23:35

Hola ayer escribi sobre mi eequipo pentium con windows 2000 que esta lento y fuera de eso aparece en la parte inferior derecha donde aparece el reloj dos circulos rojos con una x y al pararme sobre ellos dice "your computer is infected".



Les anexo los resultados dela ejecucion de hijackthis:



Logfile of HijackThis v1.99.1

Scan saved at 04:04:29 p.m., on 18/05/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\explorer.exe

C:\WINNT\system32\NOTEPAD.EXE

C:\Archivos de programa\Spyware Doctor\swdoctor.exe

C:\hijackthis\HijackThis.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=explorer.exe "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00003.exe"

F3 - REG:win.ini: run=C:\WINNT\inet20026\services.exe

O2 - BHO: Acrobat IE Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE083} - C:\WINNT\system\ctldlg32.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINNT\system32\winbrume.dll

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O2 - BHO: IExplorerHelper Class - {E89097ED-3400-411D-9647-D368C3311C98} - C:\WINNT\system32\IeHelperVY.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Promon.exe] Promon.exe

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MusicMatch\MusicMatch Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [DrvLsnr] C:\Archivos de programa\Analog Devices\SoundMAX\DrvLsnr.exe

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [System] C:\WINNT\system32\kernels8.exe

O4 - HKLM\..\Run: [SysTray] C:\Program Files\fgyupwd.exe

O4 - HKLM\..\Run: [brmfrsmq] C:\WINNT\system32\brmfrsmq.exe

O4 - HKLM\..\Run: [a6a816d5.exe] C:\WINNT\system32\a6a816d5.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet20026\services.exe

O4 - HKLM\..\Run: [spoolsvv] C:\WINNT\system32\spoolsvv.exe

O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINNT\inet20026\socks.exe

O4 - HKLM\..\Run: [rpcc] rpcc.exe

O4 - HKLM\..\RunServices: [brmfrsmq] C:\WINNT\system32\brmfrsmq.exe

O4 - HKLM\..\RunServices: [SystemTools] C:\WINNT\system32\kernels8.exe

O4 - HKCU\..\Run: [OfotoNow USB Detection] C:\WINNT\system32\RunDLL32.exe C:\ARCHIV~1\Ofoto\OfotoNow\OFUSBS.DLL,WatchForConnection OfotoNow

O4 - HKCU\..\Run: [Agenda MSD] C:\Archivos de programa\AgendaMSD\AgendaMSD.EXE

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [WinMedia] C:\WINNT\system32

O4 - HKCU\..\Run: [shell] "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00003.exe"

O4 - HKCU\..\Run: [brmfrsmq] C:\WINNT\system32\brmfrsmq.exe

O4 - HKCU\..\Run: [a6a816d5.exe] C:\Documents and Settings\Usuario\Configuración local\Datos de programa\a6a816d5.exe

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O4 - HKCU\..\Run: [xp_system] C:\WINNT\inet20026\services.exe

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O12 - Plugin for .exe: C:\Archivos de programa\Netscape\Netscape Browser\PLUGINS\npdap.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O20 - Winlogon Notify: 20242402reg - C:\Documents and Settings\All Users\Documentos\Settings\20242402.dll

O20 - Winlogon Notify: mmxeroxk - C:\WINNT\SYSTEM32\mmxeroxk.dll

O20 - Winlogon Notify: SensSrv - C:\WINNT\SYSTEM32\senssrv.dll

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINNT\system32\netddesrv.exe (file missing)

O23 - Service: O&K Print Watch Service - O&K Software - C:\Archivos de programa\O&K Print Watch\WatchSrv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
Arriba
AcX

Mensaje por AcX » 19 May 2006, 23:47

Descarga estas aplicaciones:

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp



pasale algun antivirus online:

http://www.pandasoftware.es/productos/activescan

https://www.eset.es/analisis-online/



el elistara el primero te crea un log en c:/ copias el contenido y nos lo pegas en el siguiente log junto al nuevo log del hijackthis que sacaras :)





:lol:
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 20 May 2006, 09:38

Aqui tienes un nuevo bicho que disimula con el nombre de SERVICES.EXE pero en una carpeta virica , el troyano Krepper



http://www.auditmypc.com/process/services.asp





Envianos ante todo muestra de este fichero a zonavirus@satinfo.es anexado a un mail en cuyo texto indique referencia "REF KREPPER" y tras examinarlo informaremos



aparte tienes muchas cosas conocidas:



lanza el ELISTARA para corregir pagina de inicio y eliminar troyanos ya controlados:



ELISTARA

http://www.zonavirus.com/descargas/elistara.asp



Y evianos tambien estas DLL:



C:\WINNT\system\ctldlg32.dll



C:\WINNT\system32\winbrume.dll



C:\WINNT\system32\IeHelperVY.dll









y estos ficheros ejecutables:



C:\WINNT\system32\kernels8.exe



C:\Program Files\fgyupwd.exe



C:\WINNT\system32\brmfrsmq.exe



C:\WINNT\system32\a6a816d5.exe



C:\WINNT\system32\spoolsvv.exe



C:\WINNT\inet20026\socks.exe



rpcc.exe



C:\WINNT\system32\brmfrsmq.exe



C:\WINNT\system32\kernels8.exe



C:\WINNT\system32\RunDLL32.exe C:\ARCHIV~1\Ofoto\OfotoNow\OFUSBS.DLL,WatchForConnection OfotoNow



C:\Archivos de programa\AgendaMSD\AgendaMSD.EXE



C:\winstall.exe



C:\WINNT\system32



C:\Archivos de programa\Archivos comunes\Microsoft Shared\Web Folders\ibm00003.exe"



C:\WINNT\system32\brmfrsmq.exe



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\a6a816d5.exe



C:\WINNT\inet20026\services.exe



C:\Windows\xpupdate.exe



PowerReg Scheduler.exe





(aunque algunos pueden ser del SpySheriff y tya los puede haber elimiinado el ELITARA)





y de estas DLL supongo que ya se cuidará el ELISTARA, pero sino envienoslas tambien:



020 - Winlogon Notify: 20242402reg - C:\Documents and Settings\All Users\Documentos\Settings\20242402.dll



O20 - Winlogon Notify: mmxeroxk - C:\WINNT\SYSTEM32\mmxeroxk.dll



O20 - Winlogon Notify: SensSrv - C:\WINNT\SYSTEM32\senssrv.dll







y elimina estas claves:



O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)







El SWDOCTOR, aparte de no haberle servido, ralentiza mucho el ordenador, sugerimos desinstalarlo





y por ultimo elimine tambien esta clave:



O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINNT\system32\netddesrv.exe (file missing)





Tras todo, una vez analizados los ficheros que nos envie, haremos una nueva version del ELISTARA, que deberá ejecutar





Comentenos el resultado, gracias





Ah, y el services.exe en cuestion, renombrelo a SERVICES.VIR para que no se ponga en marcha tras el proximo reinicio, pero ojo no se equivoque de directorio, no toque el de sistema !!!



saludos



ms, 20-5-2006
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”