Explorer.exe dos veces en administrador de tareas, ayuda PF!

[moonlurker]

Hola, soy nuevo en esto de los foros, siempre que he tenido algún problema intento solucionarlo leyendo en foros como este, hasta ahora siempre había podido resolver problemitas que se me presentaban, pero está vez necesito la ayuda de alguien experto.



Hace aproximadamente un mes el novio de mi madre recibio un video por mail y al abrirlo le pidio instalar un control activex malicioso, lo ejecuto más el firewall (Zone Alarm Pro version 6.5.737.000) detecto el intento de intrusión y dice él que le dio a "declinar". Esto creo que lo hizo desde su cuenta de usuario en Windows XP.



Al otro día corrí antivirus (Kaspersky), anti ad-ware (Ad-aware SE), anti-spyware (Spysweep) y creí haber eliminado el problema, era el TrojanDownloader.Zlob, en ese momento pude deducir que el Zone Alarm afortunadamente había inhabilitado el troyano.



Hace dos semanas instalé un nuevo disco duro (comento esto solamente como referencia) y cambié todos mis mp3, videos y descargas a este nuevo disco duro y en todos mis programas P2P "configuré" para que fueran descargados en esta nueva unidad.



Ahora, durante esta semana he visto muchas cosas sospechosas, aquí las enlisto:

- Consumo de 50% del explorer.exe cuando estoy usando el Azureus y abro la carpeta donde se estan descargando los archivos (a veces hasta el 100%)

- Zone Alarm ha bloqueado infinidad de intentos de meterse por el puerto 47341

- He hecho un "netstat" y vi que tenia conexiones a "unknown.level13.net"

- Una vez se apago la computadora sola

- Problemas para apagar la computadora (tarda mucho)

- Sistema a veces lento



Cuando miré esto leí de nuevo en foros de seguridad, deshabilite "recuperación de sistema", inicié a prueba de fallos y corrí Antivirus (Panda 2007 actualizado... tuve que quitar el Kaspersky porque ya no servía la "llave" :S), corrí el Spybot Search & Destroy, Ad-aware SE y Trojan Remover.



Todo este escaneo no arrojó ningun problema, pero hoy que he despertado, abrí el administrador de tareas y veo que Explorer.exe aparece dos veces!



He leído acerca del HiJackThis, y leído de como se ayudan los expertos en los foros para ayudar a solucionar problemas a usuarios como yo. Ojalá alguien pueda ayudarme, no pego ningun Log del HiJackThis para no apresurarme a las recomendaciones de los expertos.



Gracias de antemano.

[flacoroo]

bajate de la pagina principal en descargas estos 3 programitas El Elistara, Elinotif y ElitriIP y reinicias en modo seguro tu compu y los ejecutas, claro esta antes deshabilitas Restaurar sistema, no se te olvide actualizar tu antivirus para que despues de que hayas ejecutados estos programas lo ejecutes tambien....y en caso de uqe no se resuelva ahora haz esto....





[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos

[moonlurker]

Muchas gracias, ahora mismo me pongo a hacer esto, ojalá no sea necesario lo del HiJackThis



Saludos

[moonlurker]

Hice todo lo recomendado, pero no quisiera cantar victoria aún...

Cuando hice todos el escaneo con el Elistara salió que se había eliminado el "Troyano Nuwar, Purityscan" además de algunos archivos dll.



Tengo una pregunta



Al reiniciar la computadora en modo normal, el Trojan Remover me lanzó el siguiente mensaje:


[quote]The regfile\shell\open\command Key in the Windows Registry appears to have been modified. The current entry looks like this: Regedit.exe "%1"



Would you like Trojan Remover to reset this Registry key (recommended)?[/quote]

No sé si darle "Yes" o "No"



Gracias

[moonlurker]

Olvidaba el log del Elistara, por si acaso





Mon Jan 08 16:01:45 2007

EliStartPage v13.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WSERVICE.EXE.Muestra EliStartPage v13.03

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WSERVICE.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\WNSCPIT.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\LogFiles"

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 08 16:03:55 2007

EliStartPage v13.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\3dsmax7\RESMGR.DLL --> Eliminado, Puper-Is

C:\Documents and Settings\Fernando\My Documents\My eBooks\Diseño\Revistas y E-Zines\Abuse Magazine\ABUSE_MAGAZINE_OFFLINE_1_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\Fernando\My Documents\My eBooks\Diseño\Revistas y E-Zines\Abuse Magazine\ABUSE_MAGAZINE_OFFLINE_2_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\Fernando\My Documents\My eBooks\Diseño\Revistas y E-Zines\Abuse Magazine\ABUSE_MAGAZINE_OFFLINE_3_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\Fernando\My Documents\My eBooks\Diseño\Revistas y E-Zines\Abuse Magazine\ABUSE_MAGAZINE_OFFLINE_4_SETUP.EXE --> AutoExtraible

C:\Documents and Settings\Fernando\My Documents\My eBooks\Diseño\Revistas y E-Zines\Abuse Magazine\ABUSE_MAGAZINE_OFFLINE_5_SETUP.EXE --> AutoExtraible

C:\Program Files\ASCII Art Studio\UNINSTALL.EXE --> AutoExtraible

C:\Program Files\FileZilla\UNINSTALL.EXE --> AutoExtraible

C:\Program Files\Image-Line\Collab\UNINSTALL.EXE --> AutoExtraible

C:\Program Files\Image-Line\FLStudio5\OPENASIO.DLL --> Eliminado, CommanderNET (BHO)

C:\Program Files\Image-Line\FLStudio5\UNINSTALL.EXE --> AutoExtraible

C:\Program Files\Image-Line\FLStudio5\Plugins\Fruity\Generators\Dashboard\DASHBOARD.DLL --> Eliminado, Spy.Delf (BHO)

C:\Program Files\LimeWire\UNINSTALL.EXE --> AutoExtraible

C:\Program Files\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\Program Files\Online TV Player\BORLNDMM.DLL --> Eliminado, DownLoader.SXS

C:\Program Files\Soulseek\UNINSTALL.EXE --> AutoExtraible

C:\Program Files\Total Video Converter\OPTIMIZEGIF.DLL --> Eliminado, KeyLogger.FL

C:\WINDOWS\SYSTEM32\PREVIEWER.EXE --> Eliminado, DriverLoad (Clicker.Delf.CN)



Mon Jan 08 16:20:42 2007

EliStartPage v13.03 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

F:\Program Installers\Aplicaciones\De Sistema\Utilidades Programas\Video\SETUP DVD DECRYPTER_3.5.0.0.EXE --> AutoExtraible

F:\Program Installers\Diseño e Imagen\3D\Alias Motion Builder PRO Version 7\OpenRealitySDK.Installer\MBR_ORSDK70_WIN.EXE --> AutoExtraible

F:\Program Installers\Diseño e Imagen\3D\Alias Motion Builder PRO Version 7\Python.Scripting.Installer\MBR_PYTHON70_WIN.EXE --> AutoExtraible

F:\Program Installers\Diseño e Imagen\Animacion 2D\All In One Sothink Essential Products\AutoPlay\Docs\DHTMLMENU_1.EXE --> AutoExtraible

F:\Program Installers\Diseño e Imagen\Animacion 2D\All In One Sothink Essential Products\AutoPlay\Docs\GLANDA.SFX.EXE --> AutoExtraible

F:\Program Installers\Diseño e Imagen\Animacion 2D\All In One Sothink Essential Products\AutoPlay\Docs\SWFDECOMPILER.SFX.EXE --> AutoExtraible

F:\Program Installers\Diseño e Imagen\Animacion 2D\All In One Sothink Essential Products\AutoPlay\Docs\SWFQUICKER.SFX.EXE --> AutoExtraible

F:\Program Installers\Diseño e Imagen\Manejo de imagenes\ASCII Art Studio 2.01\AAS_EN.EXE --> AutoExtraible

[Nuker]

Si, lo recomendado es que la restaure.



Y envie este fichero porfavor para su analisis.



Por favor, envienos una muestra del fichero

C:\Muestras\[b]WSERVICE.EXE[/b].Muestra EliStartPage v13.03

a "virus@satinfo.es". Gracias.



ENVIO DE MUESTRAS:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[moonlurker]

Muy bien, Gracias!



Ya he enviado el archivo

[moonlurker]

Hola de nuevo, de nuevo molestando :S



Hace rato estaba descargando mp3s de mIRC y videos musicales con Azureus y me aleje de la computadora, al regresar vi que el protector de pantalla estaba "congelado". Moví el [i]mouse[/i] y no respondía, lo volví a mover y salió del protector de pantalla. Entonces lo primero que ví fué un mensaje de Azureus diciendo algo así como que no se estaba podiendo escribir en el disco (F:)

después empezo a saltar un mensaje de Windows diciéndome más o menos lo mismo (lo siento, me alarmé tanto que no apunté lo que decía), además aparecía un icono de exclamación en la barra de tareas (al lado del reloj). El disco duro hacía un ruido extraño, y en Windows mi unidad (F:) había desaparecido... alarmado reinicié el sistema y apareció de nuevo la unidad y hasta ahora normal, pero ya no he puesto a trabajar a estos dos programas (mIRC y Azureus).



Puede estar relacionado con algún tipo de daño por virus?

[moonlurker]

Hola, al parecer sigo teniendo problemas, ahora es el "helpsvc.exe"

el que subitamente aparece consumiendo 40%-50% del CPU para después de un rato salir del administrador de tareas.



Pego el log del HiJackThis



Logfile of HijackThis v1.99.1

Scan saved at 03:34:25 p.m., on 09/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\DRIVERS\WtSrv.exe

C:\WINDOWS\System32\dmadmin.exe

C:\WINDOWS\vsnpstd.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe

C:\WINDOWS\system32\ctfmon.exe

c:\program files\panda software\panda antivirus 2007\WebProxy.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\iTunes\iTunes.exe

C:\Program Files\Last.fm\LastFM.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\mIRC\mirc.exe

C:\WINDOWS\system32\Notepad.exe

C:\HiJackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.dell.com/

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: TBSB09718 - {571E3F7F-B6B5-4350-ADDE-F16ED678E0D3} - (no file)

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: (no name) - {69CBB5FD-2468-75B0-4C05-08923829D1BB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: Systran50premi.IEPlugIn - {9A0844DB-84CF-4440-BDB1-1F4F7C4F7FB0} - C:\Program Files\SYSTRAN\5.0\Premium\IEPlugIn.dll

O4 - HKLM\..\Run: [WService] WService.EXE

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" -startup

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CTSysVol] "C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" /r

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: LooknStop.lnk = C:\Program Files\Soft4Ever\looknstop\looknstop.exe

O8 - Extra context menu item: &Search - http://kq.bar.need2find.com/KQ/menusearch.html?p=KQ

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open and Translate in Word - res://C:\Program Files\SYSTRAN\5.0\Premium\IEShellExt.dll /10

O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll

O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Fernando\Start Menu\Programs\IMVU\Run IMVU.lnk (file missing)

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)

O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe





Gracias

[msc hotline sat]

El Wservice vemos que es de la tableta grafica, se elimina su deteccion en la proxima version.





Aparte elimine estas claves:







O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm



O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm



O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm



si no las conoce, eliminelas



saludos



ms, 10-01-2007

[moonlurker]

Hola, perdón por el retraso en la respuesta



Sothink SWF Catcher es un programa para guardar animaciones hechas en Flash.





Lamentablemente sigo teniendo problemas, ya no ha vuelto a aparecer lo del doble "explorer.exe" Pero sigo teniendo infinidad de intentos de conexión al puerto 47341 (aprox. 3 por segundo!), reinicio la computadora y en cuanto vuelve a entrar al SO siguen entrando intentos de conectarse a ese puerto.



Y de nueva cuenta cuando estaba descargando un archivo de Azureus y unos mp3s de Soulseek aparecio de pronto este mensaje:


[quote]Windows was unable to save all the data for the file F:\$Mft. The Data has been lost. This error may be caused by a failure of your computer hardware or network connection. Please try to save this file elsewhere.[/quote]

Cuando pasa ésto mi unidad F: desaparece del sistema, reinicio y de nuevo está ahí sin ningun archivo corrupto y sin perdidas de datos. No sé, por alguna razón pienso que está relacionado con esos intentos de entrada al puerto 47341.



Ya he hecho chequeos del disco duro desde Windows XP, al inicio con la utilidad de mi bios para checar discos duros y con una utilidad de mi disco duro. Todos los tests pasan sin problemas.



Es posible que el Trojan Remover me haya advertido de algún en el registro relacionado con el virus NUWAR cuando reinicie despues de haberlo eliminado, es decir, que lo haya restaurado?


[quote]Al reiniciar la computadora en modo normal, el Trojan Remover me lanzó el siguiente mensaje:



Cita:

The regfile\shell\open\command Key in the Windows Registry appears to have been modified. The current entry looks like this: Regedit.exe "%1"



Would you like Trojan Remover to reset this Registry key (recommended)?[/quote]

[msc hotline sat]

Pues arramnque en modo seguro, lance el HJT , guarde el log, y nos lo envia arancando normal y lo analizaremos en busca de algun rootkit, que de haberlos hailos !



saludos



ms, 11-01-2007

[moonlurker]

Hola, le dejo el log, gracias



Logfile of HijackThis v1.99.1

Scan saved at 01:48:50 p.m., on 11/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\dmadmin.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\HiJackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.dell.com/

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: TBSB09718 - {571E3F7F-B6B5-4350-ADDE-F16ED678E0D3} - (no file)

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: (no name) - {69CBB5FD-2468-75B0-4C05-08923829D1BB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: Systran50premi.IEPlugIn - {9A0844DB-84CF-4440-BDB1-1F4F7C4F7FB0} - C:\Program Files\SYSTRAN\5.0\Premium\IEPlugIn.dll

O4 - HKLM\..\Run: [WService] WService.EXE

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\PPE.EXE

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" -startup

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CTSysVol] "C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" /r

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [CtxfiReg] CTXFIREG.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [CTDVDDET] "C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Search - http://kq.bar.need2find.com/KQ/menusearch.html?p=KQ

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open and Translate in Word - res://C:\Program Files\SYSTRAN\5.0\Premium\IEShellExt.dll /10

O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll

O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Program Files\Hello\PicasaCapture.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Fernando\Start Menu\Programs\IMVU\Run IMVU.lnk (file missing)

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)

O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus 2007\pavsrv51.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus 2007\PsImSvc.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe

[moonlurker]

Finalmente a las 4:11 a.m. creo haber develado el misterio de 1000 conexiones entrantes rechazadas por el ZoneAlarm, espero me den su opinión.



Esta es mi teoría... el puerto 47341 esta siendo usado por el gusano NUWAR, esto lo hallé aquí [url]http://isc.sans.org/date.html?port=47341&date=2006-12-29[/url], lo que no había visto era que Azureus tenía configurado el puerto 47341 en Puerto de escucha para entrada TCP y Puerto de escucha para entrada UDP.



En uno de esos incesantes ataques y conexiones rechazadas en el puerto 47341 en el Zone Alarm decidí probar a modificar los puertos de Azureus y [i]voilá[/i] parece que se ha ido el problema.



Les pido su opinión, creen que mi teoría sea posible?

Gracias



Hace un rato tuve de nuevo el problema con el disco duro, el sistema envía el siguiente mensaje:



[/code]Windows was unable to save all the data for the file F:\$Mft. The data has been lost. This error may be caused by a failure of your computer hardware or network connection. Please try to save this file elsewhere.[quote]


Me llama la atención que siempre ha aparecido cuando estoy en medio de esa tormenta de intrusiones bloqueadas al puerto 47341. Es posible que como advierte el mensaje, algún fallo en la conexión de red lo haya estado causando?



Por favor, diganme lo que piensan.

Gracias.[/quote]

[msc hotline sat]

No le veo relacion:



El NUWAR no es un virus que se propague por IP ni port 47431, sino por e-mail:



http://www.vsantivirus.com/nuwar-k.htm



Mas bien creo que está teniendo ataques via IP por dicho port, de cualquier gusano que intente intrusionar por dicho port



Muy bien que con el cortafuegos lo impida, sea lo que sea, aunque no creo que sea el Nuwar, pero es igual !



Luego miraré el HJT que he visto por encima cosas raras...



saludos



ms, 12-01-2007

[msc hotline sat]

Con el HJT:



eliminar estas claves:



O2 - BHO: TBSB09718 - {571E3F7F-B6B5-4350-ADDE-F16ED678E0D3} - (no file)



O2 - BHO: (no name) - {69CBB5FD-2468-75B0-4C05-08923829D1BB} - (no file)



O8 - Extra context menu item: &Search - http://kq.bar.need2find.com/KQ/menusearch.html?p=KQ



O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm



O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Fernando\Start Menu\Programs\IMVU\Run IMVU.lnk (file missing)



O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm



O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm



O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)



O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)



recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 12-01-2007