Problema al startup con msdos (SOLUCIONADO)

jandagames · Mensaje por **jandagames** » 05 Abr 2007, 00:51

Buenas, hace unos meses tuve unos problemas con un virus que me encasquetaron, afortunadamente y gracias a esta web pude eliminarlo, pero quedaron secuelas. Actualmente he cambiado totalmente la protección de mi sistema. Antes usaba Norton Antivirus 2006 sin Firewall ni Antispyware. Ahora uso Kaspersky 6, Zone Alarm 7 y Advanced Spyware Remover Pro y las cosas me van de maravilla.

A pesar de todo aún queda una secuela: cada inicio de sesión con Windows me aparece la siguiente imagen:

[img]http://i3.tinypic.com/47wy0ex.jpg[/img]

Con el Advanced Spyware Remover Pro viene una herramienta para comprobar los sucesos en el Startup y aparece esto:

[img]http://i7.tinypic.com/307tgn5.jpg[/img]

[img]http://i7.tinypic.com/48wi0dt.jpg[/img]

[img]http://i3.tinypic.com/307rcsh.jpg[/img]

Las imagenes hablan por si solas, pero por el protocolo aqui les adjunto el Log de HijackThis:

[code]Logfile of HijackThis v1.99.1
Scan saved at 23:46:23, on 04/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Portillo\Mis documentos\Mi música\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=explorer.exe c:\windows\initial.bat
O1 - Hosts: 127.127.0.0.1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://ps.itv.mop.com/dn/files/pCastCtl_1.0.0.80_20060123.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04A30E32-3978-4721-B5E8-EE20E3BC2610}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{04A30E32-3978-4721-B5E8-EE20E3BC2610}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{04A30E32-3978-4721-B5E8-EE20E3BC2610}: NameServer = 80.58.0.33,80.58.32.97
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe[/code]

Creo que estoy limpio. El problema en este caso creo que puede solucionarse borrando el primer ítem de la captura, el tal ctfmon.exe que parece ser un bloc de notas al iniciar sesión.

Muchas gracias anticipadas y espero su consejo.

Un saludo.

Mensaje por **msc hotline sat** » 05 Abr 2007, 06:14

Lo que veo que tienes son dos antivirus instalados o mal desinstalado uno de ellos, el Norton por lo que dices:

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

Figuran los dos residentes... Desinstala totalmente el antiguo, prueba la herramienta del fabricante al efecto

NORTON REMOVAL TOOL:

http://norton-removal-tool.softonic.com/ie/43087

_____

y posteanos el contenido de este fichero:

c:\windows\initial.bat

abrelo con el bloc de notas, seleccionas todo y copiar y pegar en el proximo post, y veremos lo que te hace...

______

y elimina esta clave:

O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://ps.itv.mop.com/dn/files/pCastCtl_1.0.0.80_20060123.cab

para ello recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

_______

En funcion de lo que veamos en el initial.bat, procederemos con el BUSCAREG a ver si encontramos una clave conteniendo REPAIRED y veriamos que es, para obrar en consecuencia

saludos

ms, 5-04-2007

jandagames · Mensaje por **jandagames** » 05 Abr 2007, 14:43

O16 borrado, la herramienta de Symantec como era de esperar no me funciona, dice error de win32bits o algo asi. No he podido eliminar el viejo totalmente, ni siquiera con el RegCleaner, que me ha borrado todas las entradas de Symantec pero en Archivos comunes sigue su carpeta. Al intentar borrarla "a saco" me salta error...

Aun asi posteo el contenido de initial.bat y el log de hijackthis:

[quote]copy /y c:\windows\srv.exe c:\windows\system32\repaired\svchost.exe

start c:\windows\system32\repaired\svchost.exe[/quote]

[code]Logfile of HijackThis v1.99.1
Scan saved at 13:45:53, on 05/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Advanced Spyware Remover Pro\AsrPro.exe
C:\Documents and Settings\Portillo\Mis documentos\Mi música\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=explorer.exe c:\windows\initial.bat
O1 - Hosts: 127.127.0.0.1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{04A30E32-3978-4721-B5E8-EE20E3BC2610}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{04A30E32-3978-4721-B5E8-EE20E3BC2610}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{04A30E32-3978-4721-B5E8-EE20E3BC2610}: NameServer = 80.58.0.33,80.58.32.97
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe[/code]

Por cierto otra captura:

[img]http://i13.tinypic.com/2iw20wg.jpg[/img]

Gracias por la respuesta.

Sigo atento.

jandagames · Mensaje por **jandagames** » 05 Abr 2007, 20:45

Lo he solucionado simplemente borrando la siguiente entrada:

[quote]F2 - REG:system.ini: Shell=explorer.exe c:\windows\initial.bat[/quote]

Gracias por las molestias.

Mensaje por **lucl** » 05 Abr 2007, 21:31

nos alegramos , vuelve cuando quieras... saludos

Mensaje por **msc hotline sat** » 06 Abr 2007, 12:21

Pero tenemos algo raro en este SVCHOST:

c:\windows\system32\repaired\svchost.exe

por lo que te pedimos que nos lo envies para analizar, pero sobre todo que sea el de esta carpeta "repaired" , no de la de sistema ...

Para enviarlo, recuerda : https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 6-04-2007

nota :

y para limpiar el HJT de lo de Symantec, empieza elimina esta clave:

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

y borra este fichero:

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

ms.

jandagames · Mensaje por **jandagames** » 06 Abr 2007, 17:20

1- En la carpeta /repaired/ ya no está el svchost.exe, a ello es debido el error que antes salia. El archivo fue en su dia borrado por mi, y por las herramientas que me facilitasteis (elistara, etc). La carpeta repaired esta vacia y fuera de peligro.

2- Creo que la principal causa de los problemas fue el Norton, una autentica mierd* de antivirus, que no detecta ni la mas minima sospecha, y que el virus utilizó para hacer mas vulnerable si cabe mi PC.

Mi teoria es que el virus desactivo el Norton cuando se ejecutó, impidiendo que se actualizase o que lo detectara. El caso es que el virus me inutilizó el Norton y el Norton sin darse cuenta. Los procesos se multiplicaron y el ordenador iba lentisimo, con un consumo de recursos demasiado elevado, sospechoso.

La entrada O26 la he borrado satisfactoriamente.

Respecto al archivo SNDSrvc.exe, al intentar borrarlo manualmente me salta el error tipico de "archivo en uso o protegido contra escritura". Ademas me he fijado que sigue ejecutandose dicho archivo como proceso en el Administrador de tareas.

Es totalmente necesario que borre ese rastro? El Kaspersky se ejecuta perfectamente y ya no noto desde hace meses ningun sintoma de virus ni errores, exceptuando este problema del MSDOS que ayer pude subsanar. Lo digo porque todo este proceso de limpieza el put* Norton me pone de los nervios, no quiero ni recordarle.

Por favor quitar ese MalSoftware de toda lista de sugerencias, es pesimo. No se lo recomendaré ni al peor de mis enemigos. Encima cuesta dinero, increible.

Mensaje por **msc hotline sat** » 06 Abr 2007, 21:30

Lo mismo le hubiera pasado con cualquier antivirus, incluido el Kaspersky y McAfee !

No soy de Norton, es nuestra competencia (desde hace casi 20 años vamos con McAfee y el Kaspersky lo integran los UTM TUXGATE, que representamos en exclusiva en España) pero no hay antivirus que pueda evitar que Vd ejecute un virus nuevo no conocido (cada dia hay un promedio de 200...) y que le desactive, desde la actualizacion del antivirus, hasta todos los residentes de seguridad, incluido él mismo, eso si no se lo corrompe o desinstala...

Asi que cambie el chip, y no esté tan seguro que es cuando de verdad le entrarán los virus.

Y recuerde:

[url=https://foros.zonavirus.com/viewtopic.php?p=52059#52059]~~[b]~~NAVEGAR PROTEGIDO[/b][/url]

y dando por solucionado el problema, procedemos a cerrar el Tema

saludos

ms, 6-04-2007

Mensaje por **msc hotline sat** » 06 Abr 2007, 21:35

NOTA POSTCIERRE:

Me olvidaba !

dice:

[quote]La entrada O26 la he borrado satisfactoriamente. [/quote]

No sé cual es la O26 que dice haber borrado (aun no se ha inventado, pero... :lol: )

Lo de Symantec, empiece por renombrar el fichero o moverlo a otra carpeta, y tras apagar y volver a arrancar ya no estará en uso y podra borrar el fichero movido o renombrado y eliminar la clave.

saludos

ms, 6-04-2007