Foro de Spyware - Ver Mensaje Individual - No logro eliminar Spysheriff (instalado por un troyano junto con otro malware)

Tema: No logro eliminar Spysheriff (instalado por un troyano junto con otro malware)

Ver Mensaje Individual

post #3 (permalink)

30/11/05, 17:09:14

elmaize

Usuario

Registrado: nov 2005

Ubicación: spain

Mensajes: 3

Re: No logro eliminar Spysheriff (instalado por un troyano junto con otro malware)

Hola,

muchas gracias por la bienvenida y por la rapida respuesta!!
A ver si funciona.Te digo todo lo q he hecho....

1º Contesto a tus preguntas:

*Los archivos de programa de Spysheriff los elimine como dediais en el manual:
http://www.forospyware.com/t6486.html
me quede en el punto 6 que no entendia q era...

*Los archivos q te digo en el mensaje "msarch.exe, bnmsrv.exe, bot.exe, rpcxss.dll, svcp.csv,winsub.xml,zlbw.dll"
esos los veo al hacer "Buscar archivos o carpetas" de windows y le digo que me saque los archivos modificados con la fecha

del dia q se me produjo la infección. Sé hasta la hora exacta en la q ejecute el "crack.exe" y esos son los archivos

modificados en ese momento.....No se si esto esta muy bien hecho o no....

2ºHe seguido tus indicaciones y esto es lo conseguido:

El windows Update lo he pasado esta mañana (antes de quitarle la comnexion a internet al ordenador)

El "O1 - Hosts: 155.210.157.151 pctele74" es el equipo en la red, asi q no lo he tocado.

Al final el "O20 - Winlogon Notify: dvd4free - C:\WINNT\SYSTEM32\dvd4free.dll" tampoco lo he quitado porq no estaba segura

de q era ya que la version de mi S.O. es Windows 200 (TM) (version 2195:Service Pack 4Free) y no sabia si ese 4 free tiene

algo q ver con el dvd4free.dll.

Al pasar el ad-ware me ha limpiado 9 malwares dañinos.
Los antivirus on line no los he podido pasar porq no puedo salir a internet pero en su lugar he pasado el Norman otra vez a

todo el PC.

Ahora el desktop ya lo puedo cambiar( se ha desbloqueado), pero el proceso svchost.exe sigue ocupando el 100% de uso de la CPU al iniciarse windows hasta q lo mato a mano con el administrador de tareas.Eso x q puede ser?

Aqui esta mi nuevo log:

MUCHAS GRACIAS Y OTRO SALUDO!!!!

Logfile of HijackThis v1.99.1
Scan saved at 22:02:13, on 30/11/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\WIN\Norman\bin\ZANDA.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\r_server.exe
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\Spyware Doctor\sdhelp.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\msdtc.exe
C:\WIN\NORMAN\Nvc\BIN\nvcoas.exe
C:\WIN\Norman\bin\NJEEVES.EXE
C:\WIN\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\WIN\NORMAN\Nvc\BIN\nipsvc.exe
C:\WINNT\Explorer.EXE
C:\Archivos de programa\Eicon\Diva\DiTask.exe
C:\Archivos de programa\Eicon\Diva\Divamon.exe
C:\Archivos de programa\Eicon\Diva\watch.exe
C:\Archivos de programa\Eicon\Diva\cgserver.exe
C:\WIN\Norman\bin\ZLH.EXE
C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE
C:\Archivos de programa\Eicon\Diva\diinfo.exe
C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
C:\WIN\Acrobat 6.0\Distillr\acrotray.exe
C:\WIN\Norman\Nvc\bin\cclaw.exe
C:\WIN\Norman\Nvc\BIN\NIP.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 155.210.157.151 pctele74
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\win\Acrobat

6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\win\Acrobat

6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\win\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DiTask.exe] "C:\Archivos de programa\Eicon\Diva\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Archivos de programa\Eicon\Diva\Divamon.exe"
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] "C:\Archivos de programa\Eicon\Diva\watch.exe"
O4 - HKLM\..\Run: [CGServer] "C:\Archivos de programa\Eicon\Diva\cgserver.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\WIN\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Acrobat Assistant.lnk = C:\WIN\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\win\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\win\OFFICE11\REFIEBAR.DLL
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{0380001B-A548-4CFD-9316-BD02521DBEA7}: NameServer = 155.210.12.9,155.210.33.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{0380001B-A548-4CFD-9316-BD02521DBEA7}: NameServer = 155.210.12.9,155.210.33.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{0380001B-A548-4CFD-9316-BD02521DBEA7}: NameServer = 155.210.12.9,155.210.33.4
O20 - Winlogon Notify: dvd4free - C:\WINNT\SYSTEM32\dvd4free.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. -

C:\WINNT\System32\dmadmin.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\WIN\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\WIN\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\WIN\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\WIN\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems -

C:\WIN\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner -

%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\r_server.exe" /service (file

missing)
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Archivos de programa\Spyware Doctor\sdhelp.exe
O23 - Service: Tardis time service (Tardis) - Unknown owner - C:\WINNT\system32\tardisnt.exe
O23 - Service: WinRoute Pro 4.2 (WinRoute) - Unknown owner - C:\Archivos de programa\WinRoute Pro\winroute.exe