no puedo conectarme ni eliminar spyware

Leela_ · Mensaje por **Leela_** » 19 Oct 2006, 21:58

hola, ahora el computador de mi amiga tiene problemillas...

Hemos intentado eliminar una pagina q aparece en mi navegador y q tambien detecta nod32. he ocupado el spybot y elisastar y me eliminan los bichos pero despues vuelven a aparecer y los programas me los detectan y vuelven a eliminar y asi hasta no acabar.

Pero también he perdido la conexion a internet, ahora les escribo pues inicie en modo seguro con funciones de red.

Les expongo los logs, muchas gracias de antemano:

Logfile of HijackThis v1.99.1

Scan saved at 16:48:58, on 19/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Archivos de programa\Corel\Graphics9\Register\Remind32.exe

C:\Archivos de programa\TextBridge Pro 8.0\Ereg\REMIND32.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\lsscs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.musicoscristianos.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\ARCHIV~1\TEXTBR~1.0\Bin\REGIST~1.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: Corel Registration.lnk = C:\Archivos de programa\Corel\Graphics9\Register\Remind32.exe

O4 - Startup: reminder-Registro del producto ScanSoft.lnk = C:\Archivos de programa\TextBridge Pro 8.0\Ereg\REMIND32.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161188140029

O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Remote Media Player - Unknown owner - C:\WINDOWS\system32\lsscs.exe

O23 - Service: Remote Reader Machine - Unknown owner - C:\WINDOWS\system32\ssmc.exe (file missing)

O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe (file missing)

O23 - Service: Windows Reg Service - Unknown owner - C:\WINDOWS\system32\lsyss.exe (file missing)

Wed Oct 18 13:14:56 2006

EliStartPage v12.53 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Eliminada Carpeta "%Archivos de Programa%\Deskbar"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

Wed Oct 18 15:07:21 2006

EliStartPage v12.53 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Oct 18 15:09:36 2006

EliStartPage v12.53 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\8O6D0BI7\MTE3NDI6ODOXNG[1].EXE --> Eliminado, ISearch

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\I1KUMWXP\INSTALLER[1].EXE --> Eliminado, DollarRevenue (dldr)

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\I1KUMWXP\LOADER[1].EXE --> Eliminado, DollarRevenue (dldr)

C:\RECYCLER\S-1-5-21-2052111302-113007714-1060284298-500\DC3.EXE --> Eliminado, DollarRevenue (dldr)

Wed Oct 18 15:58:16 2006

EliStartPage v12.53 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Wed Oct 18 17:56:44 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\ANTIWPA]

Por favor, envienos una muestra del fichero

C:\WinLogon\ANTIWPA.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Oct 19 16:55:13 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\ANTIWPA]

Por favor, envienos una muestra del fichero

C:\WinLogon\ANTIWPA.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

novatillo · Mensaje por **novatillo** » 19 Oct 2006, 22:09

Lo primero manda la muestra que se te pide

Por favor, envienos una muestra del fichero

C:\WinLogon\ANTIWPA.DLL

a "virus@satinfo.es". Gracias.

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

Lo siguiente es lanzar un windowsupdate y actualizar los parches que te faltan.

Saludos.

Leela_ · Mensaje por **Leela_** » 19 Oct 2006, 22:45

muchas gracias enviaré el archivo como se me pide

pero no puedo actualizar windows ya q NO logro conexion a internet ya q no logro q carguen las paginas, algo me lo impide

Leela_ · Mensaje por **Leela_** » 20 Oct 2006, 04:30

sorry por doble postear

ya mande el archivo qsolicito elistara

y ya he podido bajar los parches q faltaban

esperenme porfavor para avisarles como me va mientras

Mensaje por **msc hotline sat** » 20 Oct 2006, 07:37

Tras la acertada intervencion de novatillo, paso a analizar el log:

Eso es nuevo !:

C:\WINDOWS\system32\lsscs.exe

apuesto que es malware (no hueles a ello ?) Envianos muestra como ya sabes

aparte elimina estas claves:

(Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

O23 - Service: Remote Reader Machine - Unknown owner - C:\WINDOWS\system32\ssmc.exe (file missing)

O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe (file missing)

O23 - Service: Windows Reg Service - Unknown owner - C:\WINDOWS\system32\lsyss.exe (file missing)

y esta espera el resultado del analisis de la muestra:

O23 - Service: Remote Media Player - Unknown owner - C:\WINDOWS\system32\lsscs.exe

De momento, aparte de enviarnosla, puedes renombrar el fichero lsscs.exe a .vir para que no se ponga en marcha en el siguiente reinicio

saludos

ms, 20-10-2006

nota: buscando informacion con el maravilloso Google he ganado la apuesta :lol: :

http://virusinfo.prevx.com/pxparall.asp?PXC=360748264984

A la recepcion del fichero y analizarlo. haremos la utilidad de eliminacion. Pero ya puedes eliminar la clave indicada

Mensaje por **msc hotline sat** » 20 Oct 2006, 13:45

Recibida la DLL es un notify normal, dejalo estar

Pero esta otra NO LA HEMOS RECIBIDO !!! :

C:\WINDOWS\system32\lsscs.exe

Y garantizado que eso es virus !!!

Mira de enviarlo, que es la madre del cordero !!! :lol: :lol:

Esperamos esta otra muestra pedida `psteriormente en mi posrt.,

saludos

ms, 20-10-2006

Leela_ · Mensaje por **Leela_** » 20 Oct 2006, 20:36

Ya recupere la navegacion

y ya no aparecen mas virus o spyas al parecer

Logfile of HijackThis v1.99.1

Scan saved at 15:37:56, on 20/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Archivos de programa\Corel\Graphics9\Register\Remind32.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Prevx1\PXAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador\Mis documentos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.musicoscristianos.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Datos de programa\Prevx\pxbho.dll

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [PrevxOne] "C:\Archivos de programa\Prevx1\PXConsole.exe"

O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\ARCHIV~1\TEXTBR~1.0\Bin\REGIST~1.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: Corel Registration.lnk = C:\Archivos de programa\Corel\Graphics9\Register\Remind32.exe

O4 - Startup: reminder-Registro del producto ScanSoft.lnk = C:\Archivos de programa\TextBridge Pro 8.0\Ereg\REMIND32.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161188140029

O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Archivos de programa\Prevx1\PXAgent.exe" -f (file missing)

O23 - Service: Remote Media Player - Unknown owner - C:\WINDOWS\system32\lsscs.exe (file missing)

enviare a la brevedad el ultimo archivo q me solicitan

pero ya parece q esta solucionado si no me dicen lo contrario

muchas gracias por todo, son muy capos :P

Mensaje por **msc hotline sat** » 20 Oct 2006, 20:43

No del todo, esta persiste:

O23 - Service: Remote Media Player - Unknown owner - C:\WINDOWS\system32\lsscs.exe (file missing)

aunque medio muerta con file missing

Tras recibir la muestra la analizaremos y eliminaremos del todo

saludos

ms. 20-10-2006

Leela_ · Mensaje por **Leela_** » 20 Oct 2006, 22:32

no puedo enviarla por mail

eso iba a postear, aun la veo

pero no al buscarla para enviarla

puedo fixearla con el hjack???

Mensaje por **msc hotline sat** » 21 Oct 2006, 10:00

No elimines claves sin previo analisis de los ficheros !!! (o estar nuy seguro...)

Mira que no tenga atributos de oculto o de sistema...

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

o que haya un rootkit que te lo oculte, por lo cual, mira si lo ves arracando en modo seguro

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

saludos

ms, 21-10-2006