inicio

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
XxXAruZXxX
Mensajes: 76
Registrado: 26 Jul 2006, 01:10

inicio

Mensaje por XxXAruZXxX » 13 Feb 2007, 23:54

buenas;la cuestion es que antes el windows se me iniciava en un minuto pero intente instalar un juego q no me dejo y dsd ese momento reinicie y se me keda como 2 minutos en la panatalla de ''iniciando windows'' lo del juego es ipotetico no se si es eso aki os dejo el log por si os sirve de algo este es el log de hijackthis:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\irdvxc.exe

C:\WINDOWS\System32\svchost.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\Mixer.exe

C:\WINDOWS\System32\spoolsvc.exe

C:\WINDOWS\System32\edxxtvp.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\MSMSGS.EXE

C:\WINDOWS\System32\nwunp.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Documents and Settings\Vene\Escritorio\ELISTARA.22-02-2007.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Vene\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe

O4 - HKLM\..\RunOnce: [WMC_0] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\System32\dxmasf.dll"

O4 - HKLM\..\RunOnce: [WMC_1] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\System32\wmp.ocx"

O4 - HKLM\..\RunOnce: [WMC_2] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\System32\wmpcd.dll"

O4 - HKLM\..\RunOnce: [WMC_3] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\System32\wmpshell.dll"

O4 - HKLM\..\RunOnce: [WMC_4] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\System32\wmpcore.dll"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://mywordeveryday.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe



y este el de elistara:



Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Services"="C:\WINDOWS\System32\dxlr.exe"

Eliminada Carpeta "C:\Winduws"

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Feb 13 22:46:09 2007

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Services"="C:\WINDOWS\System32\nwunp.exe"

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Feb 13 22:46:31 2007

EliStartPage v13.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\Archivos de programa\Webteh\BSplayerPro\UNINSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Vene\Mis documentos\Incoming\BSPLAYER.PRO.1.10.814.EXE --> AutoExtraible

C:\Documents and Settings\Vene\Mis documentos\Programas\7-1_XP_DD_40211.EXE --> AutoExtraible







Y YA E METIDO EL CD DE WINDOWS Y E REPARADO Y SIGUE = MUCHAS GRACIAS ABER SI LES SIRVE DE ALGO LOS LOGS ;)
Arriba
MrKogoyo

Mensaje por MrKogoyo » 14 Feb 2007, 00:37

Primero: El log de Hijackthis, lo copiaste mal, le falta la parte de arriba (Windows XP SP x, Internet Explorer x.x, etc)



En el Hijackthis borra esta clave en MODO SEGURO dandole "Fix Cheked":



[i][b]O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)[/b][/i]



Tambien envia este archivo para su analizis:



C:\WINDOWS\System32\[b][color=red]irdvxc.exe[/color][/b]



[b]¿COMO ENVIAR EL FICHERO?:[/b]

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Y por útlimo pasa el [b]EliTriiP:[/b]

http://www.zonavirus.com/descargas/elitriip.asp



Y postenos el InfoSat.txt como lo hiciste con EliStarA



[b]Slds. ¡¡

Mr.K.[/b]
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 14 Feb 2007, 07:22

El IRDVXC.EXE es sintoma del RAHAC, para el que se debe arrancar en modo seguro y desinfectar los ficheros infectados con un buen antivirus como el McAfee, segun puede verse en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=15987



La utilidad complementaria del ELIRAHA es solo para limpiar los HTML infectados





además:





Elimina estas claves:





O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)



O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe



O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)





Luego:



Hay otro fichero que conviene nos envies, pues la ubicacion desde donde se está ejecutando no es normal, y puede tratarse de otro malware:



C:\WINDOWS\system32\spoolsv.exe







y envianos tambien estos otros ficheros sospechosos para analizar:





C:\WINDOWS\System32\edxxtvp.exe



C:\WINDOWS\System32\nwunp.exe







nos los envias como se indica en:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y tras ello los analizaremos e informaremos



saludos



ms, 14-02-2007



Nota: Evidentemente elimina ademas la clave indicada en post anterior, claro, y lanza un windowsupdate para actualizar parches !
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 14 Feb 2007, 08:03

y paso a analizar estas claves...



O4 - HKLM\..\RunOnce: [WMC_0] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\System32\dxmasf.dll"



O4 - HKLM\..\RunOnce: [WMC_1] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\System32\wmp.ocx"



O4 - HKLM\..\RunOnce: [WMC_2] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\System32\wmpcd.dll"



O4 - HKLM\..\RunOnce: [WMC_3] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\System32\wmpshell.dll"



O4 - HKLM\..\RunOnce: [WMC_4] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\System32\wmpcore.dll"



Pues en principio son DLL validas, pero es raro que sean utilizadas desde una clave RUNONCE...



Tienes conocimiento de ello ???



Pero de momento no haremos nada con ellas, solo que quede constancia de la rareza ... por si acaso.



saludos



ms, 14-02-2007
Arriba
XxXAruZXxX
Mensajes: 76
Registrado: 26 Jul 2006, 01:10

Mensaje por XxXAruZXxX » 15 Feb 2007, 01:39

ya e mandado los archivos nose si bien y sobre la pregunta no tenog conocimientos sobre eso!!!
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 15 Feb 2007, 06:28

Bien, los analizaremos cuando lleguemos al trabajo. (faltan aun 4 horas !)



y no se permite publicitar webs ni indicar links o direcciones de correo. Se elimina la que indicabas en tu firma. No reincidas !



saludos



ms, 15-02-2007
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”