| ldsm |  |
|
2007-10-31 17:24 - Respuestas: 13 - Tema nº: 2479061
Características: Windows XP Profesional, AMD ATHLON 4000 x 2 AM/2 512 MB DR 2 667 160 Gb.
Hola:
Se trata de una PC nueva de hace unas semanas.
Tengo los siguientes inconvenientes:
El antivirus Avast Home Free Edition detecta troyanos Win 32, los elimino pero continúan
He usado en modo a prueba de fallos y con restaurar sistema apagado
Super Antispyware
a-squared Free
CClean
Herramienta de eliminación de software malitencionado de Microsfot
WinsockxpFix
Spybot Search & Destroy
Usando TCP view se ven muchas conexiones TCP del tipo microsoft.ds (troyano)
La pagina por defecto de IE 6.0 intenta cambiar a http://dbsarticles.com (malware ?)
Desinfecto, desinfecto y desinfecto pero sigue todo igual
Esto me origina:
Lentitud en la navegación
Imposibilidad de usar OE 6.0 para recibir y enviar mails
El firewall de WInXP aparece su opcion "no tildada" cada vez que me conecto. Desconecto la "tildo" y nuevamente lo mismo.
No sé qué hacer para solucionarlo.
Si me pueden ayudar les agradezco
Pego el logo de HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:17:01, on 31/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\RUNDLL32.EXE
H:\Archivos de programa\Keyboard Driver\OEMDriver.exe
H:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
H:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
H:\WINDOWS\System32\mdm.exe
H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
H:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
H:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
H:\WINDOWS\rundll32.exe
H:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
H:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe
H:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
H:\Archivos de programa\a-squared Free\a2service.exe
H:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
H:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
H:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
H:\WINDOWS\System32\nvsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\dllcache\msfav32.exe
H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
H:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
H:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
H:\Archivos de programa\Mozilla Firefox\firefox.exe
H:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dbsarticles.com
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] H:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KBDriver] H:\Archivos de programa\Keyboard Driver\OEMDriver.exe
O4 - HKLM\..\Run: [avast!] H:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoft Office] H:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "H:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Microsoft Office] H:\WINDOWS\System32\mdm.exe
O4 - HKCU\..\Run: [Microsoft Windows Driver] H:\WINDOWS\rundll32.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] H:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Service Agccnt] twzrcol.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = H:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://H:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{8821F67B-9A3E-471F-AA7B-89B1412BE827}: NameServer = 200.51.211.7 200.51.212.7
O20 - Winlogon Notify: !SASWinLogon - H:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: crehcjid - H:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\Archivos de programa\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NBService - Nero AG - H:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - H:\WINDOWS\system32\dllcache\msfav32.exe
End of file - 5969 bytes
| |
|
|
| tordanxa |  |
|
Re: Pc Infectada!!! - 2007-10-31 17:28 - Respuesta 2
Cierra todos los programas. Ejecuta el HijackThis (Do a system scan only y marca las siguientes entradas, después las eliminas utilizando la opción Fix checked
O4 - HKCU\..\Run: [Microsoft Windows Driver] H:\WINDOWS\rundll32.exe
O4 - HKUS\S-1-5-18\..\Run: [Windows Service Agccnt] twzrcol.exe (User 'SYSTEM')
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O20 - Winlogon Notify: crehcjid - H:\WINDOWS\
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - H:\WINDOWS\system32\dllcache\msfav32.exe
Finaliza los siguiente procesos si los tienes abiertos :
H:\WINDOWS\rundll32.exe (ojo, fíjate en la ruta)
msfav32.exe
Elimina los siguientes archivos o carpetas si las tienes (Debes de tener la opción mostrar todos los archivos y carpetas habilitada en opciones de carpeta):
H:\WINDOWS\rundll32.exe
H:\WINDOWS\system32\dllcache\msfav32.exe
twzrcol.exe
Pasa el ccleaner de nuevo para eliminar los archivos y entradas de registro innecesarias.
Reinicia y nos cuentas.
saludos | |
|
|
| ldsm | |
|
Re: Pc Infectada!!! - 2007-10-31 19:24 - Respuesta 3
Muchas gracias Rahel:
Seguí todos los pasos
No encontré H:\WINDOWS\rundll32.exe (ojo, fíjate en la ruta)
msfav32.exe ; pero Sygate Personal Firewall me acaba de preguntar acerca de ese archivo intentando conectarse a ns3.darksheekz.info
coloque NO permitir el acceso.
twzrcol.exe no encontre en mis archivos
COn la opcion buscar del explorador de archivos encontré archivos parecidos que no borré por las dudas
Para: rundll32.exe
H:\WINDOWS\Prefetch\1B503305.pf y 22CBF6D= y 268BFF96 y 28CCD377 y 451FC2CO y 468334E4
Para msfav32.exe:
H:\WINDOWS\Prefetch\MSFAV32EXE_19-AOC9E6.pf
Sigue apareciendo en HijackThis: O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - H:\WINDOWS\system32\dllcache\msfav32.exe
Lo scaneé varias veces pero sigue igual
te copio el log Gracias Daniel
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:23:11, on 31/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Archivos de programa\Sygate\SPF\smc.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\System32\RUNDLL32.EXE
H:\Archivos de programa\Keyboard Driver\OEMDriver.exe
H:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
H:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
H:\WINDOWS\System32\mdm.exe
H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
H:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
H:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
H:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
H:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe
H:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
H:\Archivos de programa\a-squared Free\a2service.exe
H:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
H:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
H:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
H:\WINDOWS\System32\nvsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
H:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
H:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
H:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
H:\WINDOWS\system32\dllcache\msfav32.exe
H:\Archivos de programa\Outlook Express\msimn.exe
H:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] H:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KBDriver] H:\Archivos de programa\Keyboard Driver\OEMDriver.exe
O4 - HKLM\..\Run: [avast!] H:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Microsoft Office] H:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "H:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SmcService] H:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Microsoft Office] H:\WINDOWS\System32\mdm.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] H:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = H:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://H:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{8821F67B-9A3E-471F-AA7B-89B1412BE827}: NameServer = 200.51.211.7 200.51.212.7
O20 - Winlogon Notify: !SASWinLogon - H:\WINDOWS\
O20 - Winlogon Notify: crehcjid - H:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\Archivos de programa\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NBService - Nero AG - H:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - H:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - H:\Archivos de programa\Sygate\SPF\smc.exe
O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - H:\WINDOWS\system32\dllcache\msfav32.exe
End of file - 5938 bytes
| |
|
|
| tordanxa | |
|
Re: Pc Infectada!!! - 2007-10-31 19:31 - Respuesta 4
Ve a esta PÁGINA y manda ese archivo: H:\WINDOWS\system32\dllcache\msfav32.exe
Lo tienes que tener, acuérdate de poner que te muestre todos los archivos y carpetas
saludos | |
|
|
| ldsm | |
|
Re: Pc Infectada!!! - 2007-10-31 19:58 - Respuesta 5
imposible no lo encuentro borre todos los archivos que te mencioné anteriormente y fui a servicios desde herramientas adminsitrativas y deshabilite windows internet connection sharing service y pude con HijacjThis elminarlo
Sigo teniendo problemas con la conexion de ADSL speedy de Argentina
aparecen muchas conexiones tcp microsoft.ds
| |
|
|
|
