| nimasnimeno |  |
|
2007-12-14 22:53 - Respuestas: 4 - Tema nº: 2487966
Características: Windows 2000, Windows 2000 SP4 - Kaspersky Antivirus 6.
Hola. Antes de nada, decir que uso Windows 2000 SP4, como antivirus uso Kaspersky Antivirus 6 y como firewall el iSafer.
Ayer noche, Kaspersky me advirtio de que tenia procesos en ejecucion y que eran troyanos. Los procesos eran los siguientes:
pp.exe
sydtem.dll
44.exe
Estos archivos se encontraban en C:/WINNT/system32.
Elimine los 3 archivos mediante Kaspersky y despues comprobe mediante el administrador de tareas los procesos que tenia activos. Encontre 2 bastante sospechosos (ambos estaban tambien en la carpeta C:/WINNT/system32):
SCVHOST.INI (buscando por internet vi que era un virus)
SVCH0ST.EXE (no es el svchost de toda la vida, pues en el nombre en vez de una "o" tiene un cero... buscando por internet tambien vi que era un virus).
Elimine estos 2 archivos de forma manual, pues el Kaspersky no me los reconocia como virus.
Despues, pase el SpyBot Search&Destroy y me encontro el troyano Smitfraud.C el cual pude reparar sin problemas.
Despues de eso, pase el regcleaner y el ccleaner.
Reinicie el pc y he pasado el Kaspersky, el SpyBot Search&Destroy, el Ad-Aware y no ha encontrado nada en el pc. Tambien he hecho un analisis online desde la pagina de Panda y desde Ewido y no me ha encontrado nada.
El PROBLEMA viene al iniciar el PC. Inicia bien pero cuando se supone que ha cargado todo el sistema, se queda como "bloqueado" durante un minuto mas o menos. Analizando el administrador de dispositivos me he fijado que cuando inicia carga 2 procesos WinMgmt.exe y hasta que uno de los 2 no desaparece (al cabo de un minuto) el pc no responde. No da ningun mensaje de error ni nada por el estilo, simplemente hasta que uno de los 2 WinMgmt.exe no desaparece el pc se queda como en pausa y no reacciona... Eso si, despues el pc funciona como siempre, sin problemas de ningun tipo... Comentar tambien que iniciando el pc en modo seguro me hace exactamente lo mismo.
Este fallo me lo esta dando desde que he tenido el problema este ayer noche...
Bueno, pues ese es el tema... he contado todo lo que paso y todo lo que yo he podido indagar. Alguien sabe por donde podrian venir los tiros?
Cualquier ayuda es bien recibida. De paso, posteo aqui el log que guardó Kaspersky ayer noche.
14/12/2007 1:03:33 Proceso en ejecución C:\WINNT\system32\pp.exe: se detectó una nueva variante de software de riesgo Trojan.generic
14/12/2007 1:03:54 Proceso C:\WINNT\system32\pp.exe (PID 680) con éxito terminado.
14/12/2007 1:04:04 Proceso en ejecución C:\WINNT\system32\pp.exe: se detectó una nueva variante de software de riesgo Trojan.generic
14/12/2007 1:04:47 Proceso C:\WINNT\system32\pp.exe (PID 1692) con éxito terminado.
14/12/2007 1:04:51 Proceso en ejecución C:\WINNT\system32\pp.exe: se detectó una nueva variante de software de riesgo Trojan.generic
14/12/2007 1:04:51 Proceso en ejecución C:\WINNT\system32\pp.exe: se detectó una nueva variante de software de riesgo Trojan.generic
14/12/2007 1:05:06 Proceso C:\WINNT\system32\pp.exe (PID 680) con éxito terminado.
14/12/2007 1:05:11 Deshacer no terminado.
14/12/2007 1:05:11 Proceso en ejecución C:\WINNT\system32\pp.exe: se detectó una nueva variante de software de riesgo Trojan.generic
14/12/2007 1:05:13 Archivo C:\winnt\system32\sydtem.dll: detectado programa troyano Backdoor.Win32.Delf.ckn
14/12/2007 1:05:13 Se detectaron amenazas de seguridad. Se recomienda neutralizarlas inmediatamente.
14/12/2007 1:05:17 Proceso en ejecución C:\WINNT\system32\44.exe: se detectó una nueva variante de software de riesgo Trojan.generic
14/12/2007 1:05:28 Archivo C:\WINNT\system32\sydtem.dll: detectado programa troyano Backdoor.Win32.Delf.ckn
14/12/2007 1:06:00 Objeto de arranque HKLM\System\ControlSet001\Services\DCOMLodueher\Pa rameters\ServiceDll: eliminado
14/12/2007 1:06:00 Archivo C:\winnt\system32\sydtem.dll: eliminado
14/12/2007 1:06:07 Proceso C:\WINNT\system32\44.exe (PID 828) con éxito terminado.
14/12/2007 1:06:20 Proceso en ejecución C:\WINNT\system32\44.exe: se detectó una nueva variante de software de riesgo Trojan.generic
14/12/2007 1:06:22 Proceso C:\WINNT\system32\44.exe (PID 680) con éxito terminado.
14/12/2007 1:06:22 Proceso en ejecución C:\WINNT\system32\44.exe: se detectó una nueva variante de software de riesgo Trojan.generic
Gracias adelantadas.
| |
|
|
| nimasnimeno | |
|
Re: Problemas inicio Windows (W2K sp4) - 2007-12-16 19:01 - Respuesta 3
Nada, sigue igual... pongo el log del hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:47:46, on 16/12/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Archivos de programa\iSafer\iSaferSvr.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\WINNT\System32\nvsvc32.exe
C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ScsiAccess.EXE
C:\WINNT\system32\slserv.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\iSafer\iSafer.exe
C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
C:\Archivos de programa\Archivos comunes\Logitech\KHAL\KHALMNPR.EXE
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\Notepad.exe
C:\Hijackthisnuevo\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/correo
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [IW ControlCenter] "C:\Archivos de programa\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe"
O4 - HKLM\..\Run: [VOBID] "C:\Archivos de programa\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe" /remount
O4 - HKLM\..\Run: [smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Archivos de programa\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: iSafer.lnk = C:\Archivos de programa\iSafer\iSafer.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.cl/webscanner/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab30149.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1195860222062
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1195860209750
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://epicurin.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/as...rl/SymAData.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by102fd.bay102.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{72FF3D09-F83F-4CD1-A851-DF4D5814BF7F}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iSafer - Personal Firewall (iSafer) - http://winsockfirewall.sourceforge.net - C:\Archivos de programa\iSafer\iSaferSvr.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: ptssvc - KODAK - C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\ptssvc.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINNT\system32\ScsiAccess.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
End of file - 8938 bytes
Gracias, saludos. | |
|
|
| tordanxa |  |
|
Re: Problemas inicio Windows (W2K sp4) - 2007-12-16 19:05 - Respuesta 4
El logh está limpio ¿se resolvió el problema?
saludos | |
|
|
| nimasnimeno | |
|
Re: Problemas inicio Windows (W2K sp4) - 2007-12-17 11:18 - Respuesta 5
No, sigo con el problema... una vez que carga windows y se supone que ya podria hacer cosas, si clico sobre la conexion a internet (para conectar) o si clico sobre inicio->bucar el equipo se queda como "k.o." sin responder hasta al cabo de otro minuto... luego el pc funciona bien, pero ese fallo la verdad es que no se de dnd viene pq estoy segurisimo de q el pc esta limpio... no se si los virus que tenia me habran corrompido el registro de windows y por eso tengo ese problema nose... alguna idea????
Gracias adelantadas. | |
|
|
|
