necesito ayuda urgente ya no se que hacer

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Samuelmp
Mensajes: 9
Registrado: 16 Dic 2006, 13:54

necesito ayuda urgente ya no se que hacer

Mensaje por Samuelmp » 25 Dic 2006, 23:39

hola buenas, les comento mi problema: llevo ya unos días que el ordenadro va un poco lento y ya me cuesta hastsa trabajo navegar por internet debido a la ralentización del mismo. Asímismo no paran de aparecerme ventanitas pop-ups al navegar. El antivirus mcafee me detecta 3 archivos que no es capaz de eliminar: VSAdd-in.dll (creo que es el responsable de lo de las ventanitas pop-ups), config.exe está infectado por el virus New malware! bot y el virus Vundu que aun habiendole pasado la herramienta de symantec para borrarlo sigue ahí. También me gustaria consultarles cómo instalar los parches de windows ya que, (ya se que es un grave error) pero mi windows no es original, de modo que no se que hacer. Les adjunto el log del hijackthis por si sirve de algo. Muchisimas gracias de antemano, me harían un gran favor si me ayudaran. :wink:



Logfile of HijackThis v1.99.1

Scan saved at 21:35:07, on 25/12/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system\icrss.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

c:\ARCHIV~1\mcafee.com\vso\OasClnt.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe

c:\archivos de programa\mcafee.com\vso\mcvsshld.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\System32\svchost.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Marcador\Marcador.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe

c:\archivos de programa\mcafee.com\shared\mghtml.exe

C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\WINDOWS\System32\config.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Skype\Plugin Manager\SkypePM.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Samuel\CONFIG~1\Temp\Rar$EX00.425\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1F0D1B79-8129-4CF5-89ED-F256E6497420} - C:\WINDOWS\System32\ddaba.dll

O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\ldqacrhn.dll

O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Archivos de programa\VSAdd-in\VSAdd-in.dll (file missing)

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Archivos de programa\VSAdd-in\VSAdd-in.dll (file missing)

O4 - HKLM\..\Run: [VSOCheckTask] "C:\ARCHIV~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Archivos de programa\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [CTStartup] C:\Archivos de programa\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P42 "EPSON Stylus Photo RX420 Series (Copiar 1)" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Marcador] C:\Archivos de programa\Marcador\Marcador.exe

O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [Intec Services Driverrs] winrvc.exe

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe

O4 - HKLM\..\Run: [Windows Config System] config.exe

O4 - HKLM\..\Run: [OASClnt] C:\Archivos de programa\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\RunServices: [Intec Services Driverrs] winrvc.exe

O4 - HKLM\..\RunServices: [Windows Config System] config.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: Proyec - http://www.kalgan.net/Recoletos.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A02DFB5F-A47C-43E7-AB2E-A913E21BF8B2}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\System32\CTsvcCDA.exe (file missing)

O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

O23 - Service: WMDM PMSP Service - Unknown owner - C:\WINDOWS\System32\MsPMSPSv.exe (file missing)
Arriba
Nuker
Mensajes: 1556
Registrado: 09 Oct 2006, 22:54
Ubicación: Guadalajara, Jalisco

Mensaje por Nuker » 25 Dic 2006, 23:50

Elimina la clave:



O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Archivos de programa\VSAdd-in\VSAdd-in.dll (file missing)



Y ESPERA LA ORDEN DE PARA ELIMINAR ESTAS !!!



O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

O23 - Service: WMDM PMSP Service - Unknown owner - C:\WINDOWS\System32\MsPMSPSv.exe (file missing)





Pasa ELISTARA y pega el log que se aloja en Unidad C con el nombre de INFOSAT.TXT copialo y pegalo aqui com parte de tu respuesta.



ELISTARA:



http://www.zonavirus.com/descargas/elistara.asp



Saludos.
[DJ eXploit]
Arriba
Samuelmp
Mensajes: 9
Registrado: 16 Dic 2006, 13:54

Mensaje por Samuelmp » 26 Dic 2006, 00:30

perdona mi ignorancia pero si fuera posible me explicaras como se borran las claves del registro... :roll:

he pasado el Elistara y este es el log que me ha guardado.





Mon Dec 25 23:30:56 2006

EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



he probado de nuevo a bajarme los parches pero microsoft me pide que mi windows sea original, me podrias indicar alguna pagina o algun sitio para poder bajarmelos?? muchas gracias por tu pronta contestacion :wink:
Arriba
Nuker
Mensajes: 1556
Registrado: 09 Oct 2006, 22:54
Ubicación: Guadalajara, Jalisco

Mensaje por Nuker » 26 Dic 2006, 00:37

Perdon, estaba en apuros aqui en la casa. La eliminacion de claves viene detalladamente en este link:



¿Como enviar las muestras a zonavirus?:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Y lo de los parches eso no puedo dartelo yo, espera a que algun moderador te pueda dar un link. Recuerda que aqui se combate la pirateria,para eso espera la respuesta de MSC.



Saludos y suerte.
[DJ eXploit]
Arriba
Samuelmp
Mensajes: 9
Registrado: 16 Dic 2006, 13:54

Mensaje por Samuelmp » 26 Dic 2006, 00:47

gracias por tu respuesta. ya he eliminado esa clave, cuándo tengo que eliminar las otras que me dijiste?
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 27 Dic 2006, 12:56

DE LAS CLAVES INDICADAS POR NUKER COMO SOLO PROPUESTRAS A ELIMINACION, ESTAS DOS NO ES NECESARIO ELIMINARLAS:



O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)



O23 - Service: WMDM PMSP Service - Unknown owner - C:\WINDOWS\System32\MsPMSPSv.exe (file missing)



PUES NO SON MALICIOSAS Y SOLO PUEDE QUE TENGAN EL FICHERO CON ATRIBUTO OCULTO O AUSENTE, PERO NO ES VIRICO



___________



ANALISIS del HJT por msc:



Ante todo onstalar todos los parches, que no tiene ninguno !!!



"Platform: Windows XP (WinNT 5.01.2600)



MSIE: Internet Explorer v6.00 (6.00.2600.0000) "



FALTA DE PARCHES SP1



INSTALACION DEL SP1 DEL XP PARA PODER INSTALAR EL SP2: (O SEGUIR CON EL WINDOWSUPDATE)



http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx



(SE DEBE ESCOGER IDIOMA...)





_

FALTA DE PARCHES SP2



Deben actualizarse los parches de MICROSOFT. Le faltan todos los del SP2 y posteriores. Lance un windowsupdate !!!.





_____________



Rnvienos estas muestras:



C:\WINDOWS\system\icrss.exe



C:\WINDOWS\System32\ldqacrhn.dll



C:\WINDOWS\System32\ddaba.dll



:\Archivos de programa\Marcador\Marcador.exe



winrvc.exe



C:\WINDOWS\System32\logon.exe







_________________



y elimine estas claves:







O2 - BHO: (no name) - {1F0D1B79-8129-4CF5-89ED-F256E6497420} - C:\WINDOWS\System32\ddaba.dll



O2 - BHO: (no name) - {3FD6B99C-A275-46ea-8FD1-3D63986E51E4} - C:\WINDOWS\System32\ldqacrhn.dll



O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Archivos de programa\VSAdd-in\VSAdd-in.dll (file missing)



O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Archivos de programa\VSAdd-in\VSAdd-in.dll (file missing)



O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"



O4 - HKLM\..\Run: [Intec Services Driverrs] winrvc.exe



O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe



O4 - HKLM\..\RunServices: [Intec Services Driverrs] winrvc.exe



O23 - Service: icrss manager 32bit (icrss) - Unknown owner - C:\WINDOWS\system\icrss.exe



O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)





recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 27-12-2006
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”