Varios svchost y procesos extraños tras virus MSN

[jandagames]

Hola, me registro para intentar que me ayuden a solucionar un problema. Hace tres días estando en mi MSN un contacto me saltaba constantemente con la dirección http*://www.gratisweb.com/bigsnake1/video.rar y lamentablemente lo abrí sin querer. Se me ejecutó el WinRar y se me instaló el virus en el PC. Ayer mandé un mail indignado a gratisweb alegando que ese usuario alberga virus en su servidor ilegalmente. Ahora llevo dos días buscando por todos los foros y probando distintos programas Antispyware y demás, a parte claro está de varios análisis con mi antivirus que no detectan nada. Tambien he usado la herramienta específica de Symantec para eliminar el problema, pero al parecer, el virus me incapacita el antivirus y la seguridad de Windows. Anoche tambien actualicé mi sistema con las actualizaciones automaticas de windows (se me instalaron 46).



Sin enrollarme más, ahora mismo estoy escaneando mi equipo con el SPYBOT para ver si se me soluciona.



Enhorabuena por su labor y muchas gracias anticipadas.



Saludos.

[msc hotline sat]

Prueba estas ytilidades:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



en funcion de lo que veamos, te pediremos log de HJT pero ya veremos...





saludos



ms, 12-10-2006

[jandagames]

Gracias por la rapidez, ahora mismo les paso los dos.



Por cierto, estoy descargando la versión gratuita del ZoneAlarm, ¿me recomiendan instalarlo?



Y si es asi, ¿antes o despues de analizar con los dos programas?





Muchas gracias de nuevo.

[msc hotline sat]

Mejor instalalo despues, y si bien es conveniente, yo no soy partidario de los cortafuegos de soft, prefiero los de hard, por no ser residentes y mucho mas seguros !



https://foros.zonavirus.com/viewtopic.php?f=5&t=10771



saludos



ms, 12-10-2006



Nota: en el infosat.txt se van acumulando los reports de nuestras utilidades, en un solo fichero (no busque dos)

[jandagames]

Pasados tanto EliTriIP como EliStarA:



Contenido del InfoSat.txt:



Thu Oct 12 11:39:32 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu Oct 12 11:40:23 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Axon Data\AxCrypt\AXCRYPTU.EXE --> AutoExtraible

C:\Archivos de programa\Axon Data\AxCrypt\NOTIFY.EXE --> AutoExtraible

C:\WINDOWS\SRV.EXE --> Eliminado, QuickBatch(dr)

C:\WINDOWS\system32\repaired\SVCHOST.EXE --> Eliminado, QuickBatch(dr)





¿Qué debo hacer ahora? Gracias por su rapidez. Gran web ésta.

[msc hotline sat]

Tenia esto y se ha eliminado:



C:\WINDOWS\SRV.EXE --> Eliminado, QuickBatch(dr)

C:\WINDOWS\system32\repaired\SVCHOST.EXE --> Eliminado, QuickBatch(dr)



ahora puedes lanzar el HJT y postear el log, a ver si vemos algo mas



saludos



ms, 12.10.2006

[jandagames]

Logfile of HijackThis v1.99.1

Scan saved at 12:06:44, on 12/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Portillo\Mis documentos\Mi música\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=explorer.exe c:\windows\initial.bat

O1 - Hosts: 127.127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {D44CCDBD-C9C1-44C7-9A6B-74B250FD070F} - (no file)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Archivos de programa\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://ps.itv.mop.com/dn/files/pCastCtl_1.0.0.80_20060123.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{04A30E32-3978-4721-B5E8-EE20E3BC2610}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{04A30E32-3978-4721-B5E8-EE20E3BC2610}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{04A30E32-3978-4721-B5E8-EE20E3BC2610}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe





Saludos e infinitas gracias.

[jandagames]

Perdon por la impaciencia, pero... msc where are you?



Te necesito, ¿que borro en el HijackThis?





Saludos

[msc hotline sat]

No sé que tiene en c:\windows\initial.bat , mirelo editandolo con el bloc de notas





Aparte elimine esta clave:



O2 - BHO: (no name) - {D44CCDBD-C9C1-44C7-9A6B-74B250FD070F} - (no file)





saludos



ms, 12-10-2006

[jandagames]

Echenle un vistazo a esto:



[img]http://k26.iespana.es/captura.jpg[/img]





Después de los múltiples análisis al parecer se ha conseguido borrar la ruta establecida, ahora voy a probar a borrar la entrada que me dice msc.



Saludos.

[jandagames]

Aquí les dejo el contenido del sospechoso initial.bat:



copy /y c:\windows\srv.exe c:\windows\system32\repaired\svchost.exe

start c:\windows\system32\repaired\svchost.exe





Creo que debo borrar esta entrada, ¿me equivoco?

[msc hotline sat]

NO ES TAN FACIL, SI LA BORRAS TE QUEDARAS SIN EXPLORER DE WINDOWS



Mejor renombra este fichero a .VIR y crea otro con su nombre en su lugar pero tonto, por ejemplo un REM o mejor oin ek nusni oeri dekabte de cada linea REM para comentarla



o sea:



REM copy /y c:\windows\srv.exe c:\windows\system32\repaired\svchost.exe

REM start c:\windows\system32\repaired\svchost.exe



y lo pruebas



Te dejo que me esperan a comer



adeu



ms. 12-10-2006