KernelFaultCheck

[frijolito]

Esta tarde se me ha reiniciado solo el ordenador. Una vez iniciado el sistema ha saltado un aviso del Spybot que tengo instalado como residente (lo decargué de esta web). Decía esto:



"KernelFaultCheck" (new data: "") eliminado in System Startup global entry!



He pasado el antivirus y el antispyware y ha borrado 3 cosas creo que del registro (no sé muy bien donde buscar el log para verlo). También he pasado otra vez el spybot y ha inmunizado lo que ha encotrado maligno (en analizar problemas no ha encontrado ningún robot ni nada, es en inmunizar donde limpia cosas).



No he notado ningún problema después, veo que los sistemas de seguridad han funcionado a la perfección. Posteo para preguntar si tengo que hacer algo más para asegurarme de que no me he infectado y para saber si lo que ha intentado entrar es un gusano o un virus. También para que sirva de ayuda a quien le pase lo mismo.



Un saludo a todos.

[maura63]

Bajar :

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.



Saludos

maura63

[frijolito]

Logfile of HijackThis v1.99.1

Scan saved at 22:58:31, on 22/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\McAfee Desktop Firewall para Windows XP\FireSvc.exe

C:\WINDOWS\System32\sistray.EXE

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\WINDOWS\System32\keyhook.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de Programa\YA.COM\dslstat.exe

C:\Archivos de Programa\YA.COM\dslagent.exe

C:\Archivos de programa\Network Associates\McAfee Desktop Firewall para Windows XP\Firetray.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Psi\psi.exe

C:\Archivos de programa\OpenOffice.org1.1.4\program\soffice.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\mIRC\mirc.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\MARASO~1\CONFIG~1\Temp\Rar$EX00.e30\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Local Spool Net support DLL - {EF99BD50-CDFB-11E2-892F-1090271D4F78} - C:\WINDOWS\system32\localsplnet.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DSLSTATEXE] C:\Archivos de Programa\YA.COM\dslstat.exe icon

O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Archivos de Programa\YA.COM\dslagent.exe

O4 - HKLM\..\Run: [McAfeeFireTray] C:\Archivos de programa\Network Associates\McAfee Desktop Firewall para Windows XP\Firetray.exe

O4 - HKCU\..\Run: [EPSON Stylus C40 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_A10IC2.EXE /A "C:\WINDOWS\system32\E_S126.tmp"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Archivos de programa\OpenOffice.org1.1.4\program\quickstart.exe

O4 - Startup: Psi.lnk = C:\Archivos de programa\Psi\psi.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{04691974-61E5-4125-883F-E39030045EF1}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{04691974-61E5-4125-883F-E39030045EF1}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: McAfee Desktop Firewall Service (FireSvc) - Networks Associates Technology, Inc. - C:\Archivos de programa\Network Associates\McAfee Desktop Firewall para Windows XP\FireSvc.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

[maura63]

Elimina esto de no conocer





C:\Archivos de programa\Psi\psi.exe -

O2 - BHO: Local Spool Net support DLL - {EF99BD50-CDFB-11E2-892F-1090271D4F78} - C:\WINDOWS\system32\localsplnet.dll -



O4 - Startup: Psi.lnk = C:\Archivos de programa\Psi\psi.exe -



Saludos

maura63

[frijolito]

Psi es un cliente para usar Jabber. Copio definición: (Jabber es un protocolo abierto basado en el estándar XML para el intercambio en tiempo real de mensajes y presencia entre dos puntos en Internet. La principal aplicación de la tecnología Jabber es una extensible plataforma de mensajería y una red de MI (Mensajería Instantánea) que ofrece una funcionalidad similar a la de otros sistemas como AIM, ICQ, MSN Messenger y Yahoo.)



En sí no es una amenaza, otra cosa es que el ataque entrara por ahí, aunque sospecho que fue por IRC, no por Jabber. No obstante como son programas de descarga libre, no pierdo nada en borrar y reinstalar.



El otro registro no sé qué es. Lo borro directamente... esto... ya sé que a estas alturas puede ser una pregunta muy tonta, lo siento :oops: ¿pero cómo o desde donde se borran esas líneas?



He bajado la utilidad buscareg de la web pero no sé exactamente si tengo que copiar toda la línea que me habéis puesto o solo parte, porque no me sale nada. Lo he intentado también con el hijack, creo que lo ha borrado pero también ha vuelto a saltar spybot porque era una modificación de registro. Le he dicho que la permita y la tengo guardada por si lo he hecho mal y hay que volver atrás.



Gracias por vuestra paciencia.

[msc hotline sat]

Aunque puedes usar el BUSCAREG para buscar claves que contengan una pa,avra en el registro y visualizarla y si procedem eliminarla, la eliminacion de claves que se te indiquen de un log del HJT se logra simplemente lanzando otra vez el HJT, marcando todas las claves y dandole a FIX



saludos



ms, 23-10-005

[frijolito]

Efectivamente, lo borré en el hijack, y como decía, se ha quedado "almacenado" en la lista negra de spybot como bloqueado. ¿Lo borro también?



De todas formas como dije en el primer post, no he notado nada incorrecto en el ordenador, saltaron todos los sistemas de alarma pero no he detectado infección. Además tampoco sé qué ha sido, kernel parecía un proceso normal del windows.



Gracias a todos por vuestra ayuda y por todo lo que estoy aprendiendo aquí.

[maura63]

Lo que detecte Spybot o Ad-aware elimina sin contemplaciones.



Saludos

maura63