problema con virus (SOLUCIONADO)

[ccx]

hola, tengo un problema con un virus que no me deja efectuar internet explorer, cadaves que lo intento activar me sale que hay un problemas con svchost.exe y despues me sale un mensaje diciendo que tengo el minimo de memoria virtual.

este proble aparece solo con el programa de intenet explorer espero que me puedan alludar





Logfile of HijackThis v1.99.1

Scan saved at 11:12:36 p.m., on 04/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Real\RealPlayer\realplay.exe

C:\Archivos de programa\JetAudio\JetAudio.exe

C:\Documents and Settings\Lic. Higareda\Mis documentos\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {F7A7699D-45DE-29B5-01B9-7D8A03A951BA} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\regedit /s C:\pav.reg,C:\WINDOWS\System32\pavdr.exe,C:\WINDOWS\System32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Peer2Mail Toolbar Helper - {4FB971C4-99FB-480d-BA3F-55B8263010FB} - C:\Archivos de programa\Peer2Mail Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: MPEG Support Dll - {57A70350-87D9-4EA2-B3AC-C1C1B5296035} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)

O2 - BHO: CDLPObj Object - {BE2ED590-CA49-46B5-8CCE-244FB2E0D1AA} - C:\WINDOWS\DLP.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: Peer2Mail Toolbar - {43F2A7F9-06F6-48a5-B0DC-8530BF29CE66} - C:\Archivos de programa\Peer2Mail Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmcache.html

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmtrans.html

O15 - Trusted Zone: http://www.archiviosex.net

O15 - Trusted Zone: http://www.sgrunt.biz

O15 - Trusted Zone: http://www.skymasters.biz

O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab

O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{47CB4775-F809-4D9B-A8C7-3687280209E5}: NameServer = 69.50.168.178 85.255.112.16

O17 - HKLM\System\CCS\Services\Tcpip\..\{EB611D96-DE01-45E1-B01E-24340DFBEA6D}: NameServer = 69.50.168.178,85.255.112.16

O17 - HKLM\System\CCS\Services\Tcpip\..\{F50FCBE8-90CD-466E-B892-088E565C2927}: NameServer = 69.50.168.178,85.255.112.16

O17 - HKLM\System\CS1\Services\Tcpip\..\{47CB4775-F809-4D9B-A8C7-3687280209E5}: NameServer = 69.50.168.178 85.255.112.16

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: lsa driver service (lsaDriver) - Unknown owner - C:\WINDOWS\lsa.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\NPROTECT.EXE

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

[msc hotline sat]

ANTE TODO, ACTUALICE LOS PARCHES DE MICROSOFT !!!



Le faltan todos los del SP2 y posteriores y este RBOT le puede haber entrado por culpa de ello:



http://www.liutilities.com/products/wintaskspro/processlibrary/lsa/

y

http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=lsa%2Eexe&alt=lsa%2Eexe&Sect=SA



Tiene instalada la carga de LSA.EXE como servicio en:



O23 - Service: lsa driver service (lsaDriver) - Unknown owner - C:\WINDOWS\lsa.exe



Pero del bicho ya se cuidará el antivirus cuando haga lo que le indicamos,



LANCE UN WINDOWSUPDATE E INSTALE LOS QUE LE FALTAN !!!



Y tiene alteradas las funciones de seguridad del navegador:





O15 - Trusted Zone: http://www.archiviosex.net

(Description: Browser hijacker)



O15 - Trusted Zone: http://www.sgrunt.biz

(Description: Porn hijacker)



O15 - Trusted Zone: http://www.skymasters.biz

(Description: Browser hijacker)



O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)

(Description: Search hijacker)





pero esto no se elimina desde el HJT !!!



Debe seguir lo indicado en:



https://foros.zonavirus.com/viewtopic.php?t=5148



y especialmente lanzar el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



y elimine estas web de "sitios de confianza" :lol:



Luego eimine estas entradas:



R3 - URLSearchHook: (no name) - {F7A7699D-45DE-29B5-01B9-7D8A03A951BA} - (no file)



O2 - BHO: MPEG Support Dll - {57A70350-87D9-4EA2-B3AC-C1C1B5296035} - (no file)



O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)



O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)



Y esta clave es muy sospechosa, pero desconocida. Aparebnta estar relacionada con pav, que Vd usa, pero carga el userinit.exe ???



F2 - REG:system.ini: UserInit=C:\WINDOWS\regedit /s C:\pav.reg,C:\WINDOWS\System32\pavdr.exe,C:\WINDOWS\System32\userinit.exe,





Otra cuestion es el Tema del servidor de DNS !!!



Está utilizando unos muy sospechosos, especialmente el de Ukraina :



69.50.168.178 US United States CA California Covina 91724 34.0790 -117.8494 InterCage William Lu 803 626

85.255.112.16 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company





Vea sus claves:



O17 - HKLM\System\CCS\Services\Tcpip\..\{47CB4775-F809-4D9B-A8C7-3687280209E5}: NameServer = 69.50.168.178 85.255.112.16



O17 - HKLM\System\CCS\Services\Tcpip\..\{EB611D96-DE01-45E1-B01E-24340DFBEA6D}: NameServer = 69.50.168.178,85.255.112.16



O17 - HKLM\System\CCS\Services\Tcpip\..\{F50FCBE8-90CD-466E-B892-088E565C2927}: NameServer = 69.50.168.178,85.255.112.16



O17 - HKLM\System\CS1\Services\Tcpip\..\{47CB4775-F809-4D9B-A8C7-3687280209E5}: NameServer = 69.50.168.178 85.255.112.16





Hable con su ISP, preguntele los servidores de DNS que le aconsejan y si quiere pruebe la utilidad CONFGDNS.EXE para cambiarlos



CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp



y tras reiniciar, nos cuenta el resultado, gracias



saludos



ms, 5-3-2006



PD Vemos que usa PAV, y tiene instaladas varias apliccaiones de Norton... Tenga cuidado no instalar mas de un antivirus por las colisioes !!!

[ccx]

hola, grasias por todo, si me funciono, te lo agradesco mucho :D

[msc hotline sat]

Pues lo celebranosm y solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 7-3-2006