¿POSIBLE VIRUS? (solucionado)

irisava · Mensaje por **irisava** » 18 Jul 2004, 13:24

Hola. Tengo Windows 2000 y varios problemas desde hace unos días, lo que me hace pensar en un virus:

-Cuando el PC lleva un rato encendido empieza a ir muy lento

-Muchos programas se cuelgan (soulseek sobretodo)

-Me salen muchos errores en los que dice que el programa (winamp, Nero etc.) debe cerrarse.

-Sale también el Dr. Watson

-Desaparecen casi todas las opciones del menú Inicio y me quedo sólo con: Windows update; Nuevo documento de Office; Configurar acceso y programas determinados; abrir documento de Office. La única opción reiniciar.

-No puedo abrir agregar/ quitar programas (esto me pasa desde hace mucho).

He pasado antivirus online; Norton; Spybot; Ad-aware y no me detecta nada. Estos son los procesos que tengo activos en el sistema, ¿véis algo raro?: ccSetMgr.exe; ccEvtMgr.exe; spoolsv.exe; CTSVCCDA.EXE; svchost.exe; explorer.exe; TeaTimer.exe; SAVSCAN.EXE; mstask.exe; WinMgmt.exe; MsPMSPSV.EXE; svchost.exe; NAVAPSVC.EXE; TASKMGR.EXE; CTHELPER.EXE; ccApp.exe; internat.exe; IEXPLORE.EXE.

Sorry por el rollo que os he metido y muchas gracias :wink:

Mensaje por **cañera** » 18 Jul 2004, 13:48

pasale el hijackthis y haz un copiar/pegar del resultado y lo ppones en este mismo tema;

en ese link lo encontraras.

esperamos respuesta.

irisava · Mensaje por **irisava** » 18 Jul 2004, 18:59

Ya lo he pasado estos son los resultados. Yo no me entero de nada pero espero vuestras respuestas. Gracias:

Logfile of HijackThis v1.97.7

Scan saved at 18:58:59, on 18/07/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\system32\MSTask.exe

C:\WINDOWS\System32\WBEM\WinMgmt.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\internat.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\explorer.exe

C:\Archivos de programa\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cadenaser.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.telefonica.net/

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [DUESystray] C:\Archivos de programa\DUE\DUESystrayCD.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Descargar TODO con FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar usando FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Si&milar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O15 - Trusted Zone: http://correo.terra.es

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38088.6597222222

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{531B392A-5DAB-4570-9396-59169B08374F}: NameServer = 80.58.34.33 80.58.4.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{531B392A-5DAB-4570-9396-59169B08374F}: NameServer = 80.58.34.33 80.58.4.97

Mensaje por **cañera** » 18 Jul 2004, 19:57

pasa tu antivirus actualizado junto al adaware y spybot en a modo prueba de errores desactivando restaurar sistema;

inicio/mi pc,clicas con boton derecho/propiedades/restaurar sistema,lo desactivas y aceptas,apagas el pc,lo enciendes y pulsas repetidas veces F8 y en el menu que te aparece escoges la opcion modo seguro.

cuentanos como te fue.

PD;el proceso que no me gusta nada es el internat.exe

irisava · Mensaje por **irisava** » 18 Jul 2004, 22:06

Siento mis preguntas algo básicas pero no consigue saber donde esta lo de desactivar restauración del sistema. Me pongo encima de mi PC, botósn derecho y propiedades y luego hay varias pestañas, he probado en todas pero no encuentro esa opción.

Además del internat.exe ¿no crees que el lsass.exe y el smss.exe pueden ser sospechosos? Gracias de nuevo

Mensaje por **cañera** » 18 Jul 2004, 22:31

que sistema operativo tienes?

si es el xp detras de general está restaurar sistema clicas en ella y en el recuadrito lo marcas.

y esos dos archivos no,no tienen peligro.

cuentanos como te fue.

irisava · Mensaje por **irisava** » 18 Jul 2004, 22:57

Tengo el Windows 2000

Mensaje por **cañera** » 18 Jul 2004, 23:44

lo siento,tienes razon lo pusistes al principio y no me di cuenta.

mira si en esta ruta lo encuentras,

Inicio-Configuración-Panel de Control. En panel de control hay muchos iconos, clica en "Sistema"

cuentanos como te fue.

irisava · Mensaje por **irisava** » 19 Jul 2004, 02:07

Lo único parecido es en una pestaña de sistema que se llama avanzado: hay una opción que es inicio y recuperación, pero no hay ninguna opción para desactivar la restauración.

De todas formas he pasado el spybot y el adware en modo a prueba de fallos y no detectan nada. El Norton en cambio detecta una amenaza de publicidad no deseada: cd install.exe Adware Cydoor. He eliminado esta entrada del registro pero no creo que éste sea el problema.

¿Qué más puedo hacer?

Mensaje por **cañera** » 19 Jul 2004, 02:24

perdoname,pero w2000 no tiene restaurar sistema.

lo siento de veras(por hacerte perder el tiempo)

eliminastes aquel archivo que te dije antes?el intarnet,aun asi sigues teniendo los problemas?

esperamos respuesta.

irisava · Mensaje por **irisava** » 19 Jul 2004, 16:30

Her localizado internat.exe en la carpeta C:\WINDOWS\SYSTEM32 y según las propiedades de esta aplicación es una aplicación indicador idioma de teclado. Me da un poco de miedo eliminarlo por si finalmente no es un virus. ¿No hay otra opción?

Mensaje por **msc hotline sat** » 19 Jul 2004, 17:08

Envianos una copua de este Internat.exe a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y lo analizaremos y te contestaremos como respuesta a este Tema

saludos

ms, 19-07-2004

irisava · Mensaje por **irisava** » 19 Jul 2004, 18:33

Te lo acabo de enviar. Mil gracias :wink:

irisava · Mensaje por **irisava** » 19 Jul 2004, 22:40

Mientras espero vuestra respuesta le he pasado al sistema una herramienta de desinfección que me he bajado de la web de alerta-antivirus, es de Trend Micro. Me ha detectado un virus, éste es el report que me ha creado:

Damage Cleanup Engine (DCE) 3.6(Build 1120)

Windows 2000(Build 2195: Service Pack 4)

Start time : lun jul 19 2004 20:22:07

Load Damage Cleanup Template (DCT) "C:\Archivos de programa\tsc\tsc.ptn" (version 376) [success]

WORM_NACHI[virus found]

-->delete service("WksPatch","","") success

Complete time : lun jul 19 2004 20:22:36

Execute pattern count(1022), Virus found count(1), Virus clean count(1), Clean failed count(0)

No he tenido tiempo de ver si el sistema funciona bien pero lo que si no va es el agregar y quitar programas, pero ese es un viejo problema...

He seguido investigando y he encontrado en Archivos de Programa una carpeta que se llama Zero G Registry y tiene dentro el siguiente archivo XML .com.zerog.registry ¿qué es esto? Yo no recuerdo haber instalado nada así.

Y sigo abusando de vosotros, ¿es normal que cuando abro el navegador el tamaño sea reducido (más o menos la mitad de la ventana normal)?

En fin gracias de nuevo.

Mensaje por **flacoroo** » 19 Jul 2004, 22:45

Ya que dice que tienesel Nachi ahi te dejo un link pero pasalo en modo a pruebas de fallos o modo seguro....

Hemos subido a esta web la version 5.0 del ELIRPCA para control de Gaobot.ALU, el último descubierto hastra el momento, además de controlar tropecientes Gaobot, Nachi, Raleka, Lovsan, Blaster, Polybot y en general los que entran por el agujero RPCDCOM

https://foros.zonavirus.com/viewtopic.php?t=796

nos dices como te fue.....

Mensaje por **msc hotline sat** » 20 Jul 2004, 13:02

Resultado del analisis del Internat.EXE:

Aplicacion de multilenguaje de microsoft

Comparado byte a byte con el original son indenticos.

Fichero sin ninguna rutina vírica.

No procede hacer nada con él. Dejarlo estar.

Y ya que dices que has detectado el NACHI, que con el ELIRPCA como te indica Flacoroo podrás eliminar facilmente , pero recuerda que debes actualizar los parches de microsoft, con windowsupdate, pues el Nachi no te hubiera entrado con los parches actualiados.

saludos

ms, 20-07-2004

irisava · Mensaje por **irisava** » 20 Jul 2004, 22:31

Le he pasado al ordenador el programa que me habéis dicho y no detecta nada, pero mi pc sigue haciendo cosas muy raras: desaparecen los botones de la barra de inicio, la ventana del explorer cuando se abre tiene la mitad de tamaño que lo normal, todo va muy lento y en ocasiones se cuelga y no me queda más remedio que reiniciar. Cuando se abre de nuevo aparece el escritorio en blanco y sale un mensaje que dice que ha habido un error y un botón para restaurar el desktop. Ya no se que más hacer.

Mensaje por **maura63** » 21 Jul 2004, 12:28

Has pasado la utilidad ELIRPCA en modo seguro o a prueba de fallos y luego has conectado con windows update para actualizar tu sistema????

Preguntamos.

Saluods

maura63

Mensaje por **msc hotline sat** » 21 Jul 2004, 12:56

Sugiero vigilar temperatura de la CPU, revisar funcionamiento ventilador de CPU y extractor de la fuente. Según el hardware, el AIDA32 puede dar informacion valiosa, y si es el caso, en este tiempo y en los días que vienen, peor...

saludos

ms, 21-07-2004

irisava · Mensaje por **irisava** » 22 Jul 2004, 02:14

Hola de nuevo. Desesperada he desinstalado el Norton y he instalado un antivirus gratuito alemán Antivir. Me ha detectado dos virus más (debo tener toda la colección jejeje): Vbs/Newlove.A y el Tr/dldr.winsh.AC.02. Se supone que los ha eliminado. Pero mi pregunta es la siguiente ¿debo hacer algo más, algún parche como con el blaster o alguna utilidad que restaure los daños?

Por cierto sí he pasado la utilidad ELIRPCA en modo seguro o luego he conectado con windows update para actualizar el sistema. En cuanto a lo del ventilador no lo entiendo mucho tengo instalado un programa que debe ser similar al que dices msc hotline, el Everest, pero no se muy bien como verificar la temperatura del ventilador. Gracias de nuevo.

Mensaje por **msc hotline sat** » 22 Jul 2004, 15:50

Pues si no te lo dice facilmente, bajate el AIDA32 y mira la de la CPU (no la del ventilador :) )

Sobre la utilidad ELIRPCA, esta detecta y controla gusanos que entran por el RPCDCOM, y si no envuentra instalado el parche correspondiente te avisa, pero no lo instala. De ello se cuida el windowsupdate. Abre el navegador Internet Explorer, ve a Herramientas, windowsupdate y que busque las actualizaciones pendientes y las instale.

Y los virus que te detecte ti abtivirus, arrancando en modo seguro, lanzalo y podrás eliminarlos. Si fueras troyanos, adwares y spywares, lanza en este modo el SPYBOT actualizado y tras pulsar el la lupa y detectarlos, eliminalos pulsando en Solucionar Problemas:

___________

Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema

· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp

__________________________________________

Y tras ello, mantener el antivirus residente bien actualizado y vigilar por las webs que entras, para no descargar mas troyanos y similares.

Con lo indicado debe quedar solucionado el problema, y si tienes algun otro problema, indicalo en un nuevo Tema, pues este, al tener ya 20 post , con todas las soluciones ya aportadas, se hace dificultoso mantenerlo por tenerlo que releer en cada respuesta, por lo que se cierra el Tema.

¿POSIBLE VIRUS? (solucionado)

¿POSIBLE VIRUS? (solucionado)

Lo he pasado estos son los resultados

Ya no se que más hacer