Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
PortadaForo AyudaTutoriales
InicioForosForo Virus

Pc Infectada!!!

ldsm
2007-10-31 17:24 - Respuestas: 13 - Tema nº: 2479061


Características: Windows XP Profesional, AMD ATHLON 4000 x 2 AM/2 512 MB DR 2 667 160 Gb.

Hola:

Se trata de una PC nueva de hace unas semanas.

Tengo los siguientes inconvenientes:

El antivirus Avast Home Free Edition detecta troyanos Win 32, los elimino pero continúan

He usado en modo a prueba de fallos y con restaurar sistema apagado

Super Antispyware
a-squared Free
CClean
Herramienta de eliminación de software malitencionado de Microsfot
WinsockxpFix
Spybot Search & Destroy

Usando TCP view se ven muchas conexiones TCP del tipo microsoft.ds (troyano)

La pagina por defecto de IE 6.0 intenta cambiar a http://dbsarticles.com (malware ?)


Desinfecto, desinfecto y desinfecto pero sigue todo igual

Esto me origina:

Lentitud en la navegación
Imposibilidad de usar OE 6.0 para recibir y enviar mails

El firewall de WInXP aparece su opcion "no tildada" cada vez que me conecto. Desconecto la "tildo" y nuevamente lo mismo.

No sé qué hacer para solucionarlo.

Si me pueden ayudar les agradezco

Pego el logo de HijackThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:17:01, on 31/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\RUNDLL32.EXE
H:\Archivos de programa\Keyboard Driver\OEMDriver.exe
H:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
H:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
H:\WINDOWS\System32\mdm.exe
H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
H:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
H:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
H:\WINDOWS\rundll32.exe
H:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
H:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe
H:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
H:\Archivos de programa\a-squared Free\a2service.exe
H:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
H:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
H:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
H:\WINDOWS\System32\nvsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\dllcache\msfav32.exe
H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
H:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
H:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
H:\Archivos de programa\Mozilla Firefox\firefox.exe
H:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dbsarticles.com
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] H:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KBDriver] H:\Archivos de programa\Keyboard Driver\OEMDriver.exe
O4 - HKLM\..\Run: [avast!] H:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoft Office] H:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "H:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Microsoft Office] H:\WINDOWS\System32\mdm.exe
O4 - HKCU\..\Run: [Microsoft Windows Driver] H:\WINDOWS\rundll32.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] H:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Service Agccnt] twzrcol.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = H:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://H:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{8821F67B-9A3E-471F-AA7B-89B1412BE827}: NameServer = 200.51.211.7 200.51.212.7
O20 - Winlogon Notify: !SASWinLogon - H:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: crehcjid - H:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\Archivos de programa\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NBService - Nero AG - H:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - H:\WINDOWS\system32\dllcache\msfav32.exe


End of file - 5969 bytes



Posibles soluciones:
Pc infectada!!!Pc infectada!!!
Pc infectada por usbPc infectada por usb
Lap infectada de troyanoLap infectada de troyano
Hola ,pc infectada ?Hola ,pc infectada ?
Usb infectada o dañada?Usb infectada o dañada?
tordanxa

Re: Pc Infectada!!! - 2007-10-31 17:28 - Respuesta 2

Cierra todos los programas. Ejecuta el HijackThis (Do a system scan only y marca las siguientes entradas, después las eliminas utilizando la opción Fix checked

O4 - HKCU\..\Run: [Microsoft Windows Driver] H:\WINDOWS\rundll32.exe
O4 - HKUS\S-1-5-18\..\Run: [Windows Service Agccnt] twzrcol.exe (User 'SYSTEM')
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O20 - Winlogon Notify: crehcjid - H:\WINDOWS\
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - H:\WINDOWS\system32\dllcache\msfav32.exe


Finaliza los siguiente procesos si los tienes abiertos :

H:\WINDOWS\rundll32.exe (ojo, fíjate en la ruta)
msfav32.exe

Elimina los siguientes archivos o carpetas si las tienes (Debes de tener la opción mostrar todos los archivos y carpetas habilitada en opciones de carpeta):

H:\WINDOWS\rundll32.exe
H:\WINDOWS\system32\dllcache\msfav32.exe
twzrcol.exe

Pasa el ccleaner de nuevo para eliminar los archivos y entradas de registro innecesarias.
Reinicia y nos cuentas.

saludos
ldsm

Re: Pc Infectada!!! - 2007-10-31 19:24 - Respuesta 3

Muchas gracias Rahel:


Seguí todos los pasos

No encontré H:\WINDOWS\rundll32.exe (ojo, fíjate en la ruta)
msfav32.exe ; pero Sygate Personal Firewall me acaba de preguntar acerca de ese archivo intentando conectarse a ns3.darksheekz.info
coloque NO permitir el acceso.

twzrcol.exe no encontre en mis archivos


COn la opcion buscar del explorador de archivos encontré archivos parecidos que no borré por las dudas

Para: rundll32.exe
H:\WINDOWS\Prefetch\1B503305.pf y 22CBF6D= y 268BFF96 y 28CCD377 y 451FC2CO y 468334E4


Para msfav32.exe:
H:\WINDOWS\Prefetch\MSFAV32EXE_19-AOC9E6.pf

Sigue apareciendo en HijackThis: O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - H:\WINDOWS\system32\dllcache\msfav32.exe

Lo scaneé varias veces pero sigue igual

te copio el log Gracias Daniel


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:23:11, on 31/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Archivos de programa\Sygate\SPF\smc.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\System32\RUNDLL32.EXE
H:\Archivos de programa\Keyboard Driver\OEMDriver.exe
H:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
H:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
H:\WINDOWS\System32\mdm.exe
H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
H:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
H:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
H:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
H:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe
H:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
H:\Archivos de programa\a-squared Free\a2service.exe
H:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
H:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
H:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
H:\WINDOWS\System32\nvsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
H:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
H:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
H:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
H:\WINDOWS\system32\dllcache\msfav32.exe
H:\Archivos de programa\Outlook Express\msimn.exe
H:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] H:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KBDriver] H:\Archivos de programa\Keyboard Driver\OEMDriver.exe
O4 - HKLM\..\Run: [avast!] H:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoft Office] H:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "H:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SmcService] H:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Microsoft Office] H:\WINDOWS\System32\mdm.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] H:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = H:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://H:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{8821F67B-9A3E-471F-AA7B-89B1412BE827}: NameServer = 200.51.211.7 200.51.212.7
O20 - Winlogon Notify: !SASWinLogon - H:\WINDOWS\
O20 - Winlogon Notify: crehcjid - H:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\Archivos de programa\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NBService - Nero AG - H:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - H:\Archivos de programa\Sygate\SPF\smc.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - H:\WINDOWS\system32\dllcache\msfav32.exe


End of file - 5938 bytes
tordanxa

Re: Pc Infectada!!! - 2007-10-31 19:31 - Respuesta 4

Ve a esta PÁGINA y manda ese archivo: H:\WINDOWS\system32\dllcache\msfav32.exe

Lo tienes que tener, acuérdate de poner que te muestre todos los archivos y carpetas

saludos
ldsm

Re: Pc Infectada!!! - 2007-10-31 19:58 - Respuesta 5

imposible no lo encuentro borre todos los archivos que te mencioné anteriormente y fui a servicios desde herramientas adminsitrativas y deshabilite windows internet connection sharing service y pude con HijacjThis elminarlo

Sigo teniendo problemas con la conexion de ADSL speedy de Argentina

aparecen muchas conexiones tcp microsoft.ds

Página:1 Siguiente

Respuestas relacionadas:

Actualizacion infectada?Actualizacion infectada?Foro
Pagina web infectada?Pagina web infectada?Foro
Resetear pc infectadaResetear pc infectadaForo
¿esta infectada?¿esta infectada?Foro
Mi computadora esta infectada!Mi computadora esta infectada!Foro
Infectada la memoria operativaInfectada la memoria operativaForo
Pérdida de archivos en memoria usb infectadaPérdida de archivos en memoria usb infectadaForo
Recuperar informacion de una carpeta infectadaRecuperar informacion de una carpeta infectadaForo
Urgente mi computadora esta infectadaUrgente mi computadora esta infectadaForo
Recuperar fotos de memoria usb infectadaRecuperar fotos de memoria usb infectadaForo
InicioSecciones
^ SubirAviso legal
Política Privacidad
Configurarequipos05 Noviembre 2024