¡URGENTE ayuda

[zimuc]

hola amigos el otro dia os pedi ayuda para un virus que me detectaba el antivirus avp el keyhost.e y me baje el spybot como me indicasteis , pero hoy me he dado cuenta de que me han intentado entrar en mi cuenta bancaria y mirando las conexiones que se abren con el firewall agnitum he visto que habia una conexion svchost que intentaba conectarse y ojeando por ahi he leido que a traves de este exe pueden acceder a tu ordenador he intentado borrarlo pero no me deja y he leido que forma parte del xp , o sea que tengo algo dentro del ordenador que me pueden aceder y ni el antivirus ni el firewall aunque he borrado el acceso a svchost con el agnitum me lo paran os agradeceria que puedo hacer puesto que ya lo he intentado todo muchas gracias de antemano



jose maria (Zimuc)

[msc hotline sat]

EL SVCHOST.EXE, existente en la carpeta de sistema (WINDOWS\SYSTEM32 en XP) forma parte del sistema operativo de windows y es el lanzador de tareasm y como veras, está varias veces usado si abres del administrador de tareas (CTRL ALT ESC)



Estas tareas pueden ser lanzadas por el SVCHOST y lo que lance sea virico, o no ser el fichero indicado del sistema operativo, sino ser un fichero gusano con el mismo nombre, y que estaría en otra carpeta.



Para ello, mira cuantos SVCHOST.* tienes en tu disco duro, y donde los tienes.



Por otra parte puedes lanzar un HIJACKTHIS y ver las tareas residentes, de donde se cargan:



http://www.zonavirus.com/descargas/hijackthis.zip



y lo mas esencial, arrancar en modo seguro con funciones de red y lanzar un antivirus ONLINE para salir de dudas. Complementalo con eliminacion de adwares y spywares con el SPYBOT:



__________________________________________





Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/



___________





Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



__________________________________________



saludos



ms, 20-07-2004

[zimuc]

entre en ejecutar y en cmd y alli mire en tasklist y me salio los svchost.exe que tengo usando pero no se comprobar cual puede ser incorrecto me lo podrias mirar si ves alguno que es incorrecto y puedan entrarme por ahi , gracias por vuestra ayuda y atencion

zimuc

[zimuc]

svchost.exe 852 RpcSs

svchost.exe 904 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,

ERSvc, EventSystem,

FastUserSwitchingCompatibility, helpsvc,

lanmanserver, lanmanworkstation, Messenger,

Netman, Nla, Schedule, seclogon, SENS,

ShellHWDetection, TermService, Themes,

TrkWks, uploadmgr, W32Time, winmgmt,

WmdmPmSp, wuauserv, WZCSVC

svchost.exe 1012 Dnscache

svchost.exe 1028 LmHosts, RemoteRegistry, SSDPSRV, WebClient

[msc hotline sat]

Para saber de donde se esta ejecutando las diferentes tareas del SVCHOST, lanza un HIJACKTHIS y mira los procesos en cuestion desde donde se cargan.



Con ello separaremos los SVCHOST originales de los posibles gusanos.



Si no hay ninguno gusano, es posible que sea una tarea lanzada por él, en cuyo caso no es el SVCHOST.EXE lo importantem sino la tarea lanzada, cuyo nombre y aplicacion puedes indicarnos para que te ayudemos.



saludos



ms, 21-07-2004

[zimuc]

Logfile of HijackThis v1.97.7

Scan saved at 11:57:05, on 21/07/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\A-ToolBar\AToolBar.exe

C:\Archivos de programa\Java\j2re1.5.0\bin\jusched.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE

C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\Archivos de programa\SP TimeSync 1.6\SP TimeSync.exe

C:\Archivos de programa\POP Peeper\POPPeeper.exe

C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\DAP\DAP.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Pep\CONFIG~1\Temp\Rar$EX00.176\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ed2k.2x4u.de/index.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ed2k.2x4u.de/index.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1629.0\es\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [A-ToolBar] C:\Archivos de programa\A-ToolBar\AToolBar.exe s

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe /waitservice

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE

O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe

O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [SP TimeSync] "C:\Archivos de programa\SP TimeSync 1.6\SP TimeSync.exe"

O4 - HKCU\..\Run: [POP Peeper] "C:\Archivos de programa\POP Peeper\POPPeeper.exe" -min

O4 - HKCU\..\Run: [mini-Relay] "C:\Documents and Settings\Pep\Escritorio\Mis programas\miniRelay.exe"

O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O9 - Extra button: Trashcan (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38175.2763425926

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} -

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

[msc hotline sat]

Los SVCHOST que utiliza son de la carpeta de sistema, propios de Windows, no gusanos, si bien pueden lanzar tareas maliciosas.



Intentando ampliar la informacion, revisando los procesos que Vd tiene en marcha lanzados por el SVCHOST, el que probablemente tenga posibilidades de querer salir a Internet sea el último:

el svchost.exe 1028 LmHosts, RemoteRegistry, SSDPSRV, WebClient

Vea si entre sus ficheros y aplicaciones identifica alguna al respecto.



Lo mas apropiado en su caso es actualizar al día su antivirus y lanzarlo, al igual que un antispyware bien actualizado.





saludos



ms, 21-07-2004

[zimuc]

intento buscar el que me has indicado , pero en caso de intentar borrarlo como lo hago y desde donde .



Te agradezco inmensamente tu ayuda , he ido al banco pero por lo visto no pudieron entrar el el gracias a dios.

Un millon de gracias amigos.



Zimuc

[msc hotline sat]

Me alegro que no sufrieras consecuencias...



Hay que ver la tarea en cuestion cial es, como se llama y ver los ficheros asociados, y buscarlos en el disco duro.



Cuando los encuentre, dinoslo, pues al no ser conocido este posible nuevo backdoor, hat que ver que mas cosas puede haberte modificado, para restaurarlas.



Y, si es el caso, te pediremos que nos envies muestras para poder hacerte la utilidad de eliminacion completa, pero a entiende que si no es conocido todavía, tenemos primero que descubrirlo para analizarlo y proceder con ello.



saludos



ms, 21-07-2004