VIRUS APLICACION EXGM EXYM

[davisero]

Hola a todos y ante todo gracias por intentar hechar una mano.



Desde hace unos dias mi karspesky anti-hacker no para de mandarme avisos de que varias aplicaciones estan intentando conectarse desde mi Pc:



"La aplicación 71exgm50pic.a.e intento de envío de paquete UDP en dirección remota 216.255.178.195-custblock.intercage.com y Puerto 6973."



siempre son archivos tipo exgm o exym o exa.



Ya no se que hacer porque he pasado el norton, el avg antispyware y el cccleaner. Ademas tenia desabilitad la opcion de hacer puntos de restauracion del sistema (creo q se llama asi).



Espero vuestra ayuda porque estoy superado y no tengo mucha idea del tema.



Gracias

[msc hotline sat]

Pues posteanos el log del HJT a ver si vemos algo que quiere acceder a esta IP, a traves del port que indica, pues podría no ser un virus que intentara intrusionar, como pudiera parecer, sino un proxy al que su ordenador quisiera acceder por asi estar configuado, en cuyo caso loa antivirus, logicamene, no detectarian ningun virus...



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 1 de Mayo de 2007

[davisero]

Hola y gracias por la pronta respuesta aqui va el reporte del programa que me indicas:

Logfile of HijackThis v1.99.1

Scan saved at 20:31:35, on 01/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\Dell\Media Experience\PCMService.exe

C:\ARCHIV~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\WINDOWS\System32\DSentry.exe

C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Archivos de programa\Dell AIO Printer A920\dlbkbmgr.exe

C:\Archivos de programa\Dell AIO Printer A920\dlbkbmon.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\OLYMPUS\OLYMPUS Master\Monitor.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\DAVID\CONFIG~1\Temp\58exym50.a.exe

C:\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/es/esp/gen/default.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Web Assistant - {04DCB78C-AB45-83AD-A86A-6DFB90277939} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: (no name) - {6CA1C00B-90FC-4F3E-911F-95306ABA43AA} - (no file)

O2 - BHO: (no name) - {6CA1C00B-90FC-4F3E-911F-95306ABA49AA} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar4.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\system32\nzdd.dll

O3 - Toolbar: SearchHelper - {B6A5B638-6025-4C2C-A899-867B416453D2} - C:\Archivos de programa\SearchHelper\SearchHelper.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [zBrowser Launcher] "C:\Archivos de programa\Logitech\iTouch\iTouch.exe"

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [PinnacleDriverCheck] "C:\WINDOWS\System32\PSDrvCheck.exe" -CheckReg

O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [OM_Monitor] "C:\Archivos de programa\OLYMPUS\OLYMPUS Master\FirstStart.exe"

O4 - HKLM\..\Run: [OESpamTest] C:\ARCHIV~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Microsoft Update] ahytdkx.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe" -startup

O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Archivos de programa\Dell AIO Printer A920\dlbkbmgr.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [CTSysVol] "C:\Archivos de programa\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTDVDDet] "C:\Archivos de programa\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [AsioReg] "REGSVR32.EXE" /S CTASIO.DLL

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\RunServices: [Microsoft Update] ahytdkx.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe

O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] /L:SPN

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [OM_Monitor] C:\Archivos de programa\OLYMPUS\OLYMPUS Master\Monitor.exe

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: RealDownload.lnk = C:\Archivos de programa\Real\RealDownload\Realdownload.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe

O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Filter: text/html - {994D478A-45D0-4DB4-AE28-738B1E346F99} - (no file)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\KAV\KAVSVC.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~2.EXE

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe







Bueno, sigo con los mensajes de virus, en este momento Kaspersky me indica lo siguiente "

[i]La aplicación 58exym50.a.exe intento de envío de paquete UDP en dirección remota 216.255.178.195-custblock.intercage.com y Puerto 5000.[/i]"





¿alguna idea acerca de que es custblock.intercage?



Gracias por seguir currando el 1º de mayo. Un saludo

[msc hotline sat]

Enviarnos muestras de estos ficheros sospechosos:



C:\DOCUME~1\DAVID\CONFIG~1\Temp\58exym50.a.exe



y tambien de [b]ahytdkx.exe[/b] ya que es muy sospechoso que haya dos claves en Run y Run services lanzando el mismo fichero





O4 - HKLM\..\Run: [Microsoft Update] ahytdkx.exe



O4 - HKLM\..\RunServices: [Microsoft Update] ahytdkx.exe







y otra clave sospechosa es:



O4 - HKCU\..\Run: [SB Audigy 2 Startup Menu] /L:SPN



pues se desconoce lo que hace...







y este enviarlo tambien pues promete ser un RBOT:



[b]lsrv.exe[/b]







y estos otros envienoslos tambien para analizar:



C:\WINDOWS\system32\[b]nzdd.dll[/b]



C:\Archivos de programa\SearchHelper\SearchHelper.dll





________



y eliminar estas claves:



O2 - BHO: Web Assistant - {04DCB78C-AB45-83AD-A86A-6DFB90277939} - (no file)



O2 - BHO: (no name) - {6CA1C00B-90FC-4F3E-911F-95306ABA43AA} - (no file)



O2 - BHO: (no name) - {6CA1C00B-90FC-4F3E-911F-95306ABA49AA} - (no file)



O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\system32\nzdd.dll



O3 - Toolbar: SearchHelper - {B6A5B638-6025-4C2C-A899-867B416453D2} - C:\Archivos de programa\SearchHelper\SearchHelper.dll



O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w



O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe







[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] Para ello, recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334







y desinstalar uno de los dos antivirus, Norton o Kaspersky, pues no debe haber mas que uno ya que dos colisionan !







EVidentemente es incomprensible que con dos antivirus tenga todo esto:



lsrv.exe : http://www.sophos.com/security/analyses/w32rbotbk.html



system\smss.exe : http://vil.nai.com/vil/content/v_138575.htm



y otras hierbas sospechosas que analizaremos



solo cabe pensar que al tener dos instalados no pudieran trabajar correctamente...



saludos



ms, 1 de mayo de 2007



nota: sobre lo que pide de qué es esta IP, pues es la web de dicha URL sita en California, donde al parecer la "aplicacion" en cuestion enviaba paquetes de informacion desde su ordenador...:


[quote]
Hostname Country Code Country Name Region Region Name City Postal Code Latitude Longitude ISP Organization Metro Code Area Code



216.255.178.195 US United States CA California Concord 94520 38.0033 -122.0318 InterCage InterCage 807 925[/quote]

[davisero]

Hola he intentado hacer los deberes y os comento el resultado:



1-os he enviado muestra del primer fichero (58exym50...) y de algunas cosas que encontre junto a el.



2-El resto de mustras no se donde encontrarlas para enviarlas, es que soy bastante torpe, un poco mas de ayuda y os las envio.



3-Elimine las claves que me indicasteis con el HTJ, salvo la ultima que habia desaparecido y no la encontre.



4-Los enlaces donde se habla de los virus lsrv.exe y smss.exe estan en ingles y no se que hacer. ¿Es mucho abusar un poco mas de ayuda otra vez?.



Respecto a los antivirus:



El Kaspersky anti-hacker mas que un antivirus lo uso como un controlador de las conexiones que mi pc hace con el exterior y les da paso o no segun le indico, el norton es lo que realmente uso como antivirus.



De hecho ha sido el kaspersky el que ha detectado todo este follon y no el norton, asi que no se que hacer con ellos. ¿Alguna recomendacion de antivirus gratuito?.



Bueno muchas muchas muchas gracias por la ayuda estoy a la espera a ver si liquidamos algun bicho de estos.

[lucl]

Bueno solo tienes que seguir la ruta que indican por ejemplo, estos dos que te pide



C:\WINDOWS\system32\nzdd.dll



C:\Archivos de programa\SearchHelper\SearchHelper.dll



para el primero vas a c---windows----system32----[b]nzdd.dll[/b]



el remarcado en negrita lo envias, con los demas igual, si no puedes encontrarlos prueba esto



Dentro de Mipc/Herramientas/Opciones de carpeta/Ver/Archivos y carpetas



ocultos "selecciona Mostrar archivos y carpetas ocultos/aplicar/aceptar.





y vas a la herramienta buscar y alli pones el archivo en cuestion, intentalo y nos dices si lo lograste



en cuanto a saber mas sobre estos, por ejemplo si entras aqui



http://www.sophos.com/security/analyses/w32rbotbk.html



en la parte de abajo te vienen idiomas a seleccinar entre ellos español, luego solo tienes que poner el nombre del bicho, es decir w32rbotbk y te dara informacion, bueno nos cuentas tus avances, saludos

[msc hotline sat]

Y este otro fichero no indica donde está: ahytdkx.exe





pero probablemente esté en la carpeta de sistema (C:\windows\system32\)



si no lo encuentra allin busquela con un Inicio - > Buscar





Y los links que van a parar a paginas en ingles, son simplemente informacion de los bichos, no es imprescindible que lo lea, es para que vea que son conocidos y que lo normal es que sus antivirus los hubieran detectado



Y no mezcle con kaspersky ningun otro antivirus, ni gratuito ni de pago. Es muy conflictivo.



saludos



ms, 7-05-2007

[msc hotline sat]

En el ELITRIIP de hoy implementamos control y eliminacion de las muestras enviadas, detectadas como ProxyHorst



Descarguelo a partir de las 20 h GMT y pruebelo:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 8.05-2007