Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

El ordenador va muy lento o se satura cuando tengo el firewall del PAV puesto y me da cosa quitarlo.

He pasado los antivirus online. RAV y kaspersky, en el primero me aparecian varios archivos que he borrado con el killbox pero cuando he borrado el:
C:\WINDOWS\SYSTEM32\.exe
el ordenador se me ha reiniciado.
luego he pasado el kaspersky y alguno de los que habia borrado anteriormente me han vuelto a salir, el fichero que me ha salido es:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, September 17, 2005 19:17:03
Operating System: Microsoft Windows XP Professional, (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 17/09/2005
Kaspersky Anti-Virus database records: 140659
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 27863
Number of viruses found: 9
Number of infected objects: 11
Number of suspicious objects: 0
Duration of the scan process: 3031 sec

Infected Object Name - Virus Name
C:\WINDOWS\SYSTEM32\.exe Infected: Backdoor.Win32.Small.eo
C:\WINDOWS\SYSTEM32\taskbars.exe Infected: Backdoor.Win32.Rbot.rp
C:\WINDOWS\SYSTEM32\rpcclient.exe Infected: Backdoor.Win32.Codbot.ae
C:\WINDOWS\SYSTEM32\.pif Infected: Trojan-Downloader.BAT.Ftp.z
C:\WINDOWS\internt.exe Infected: Trojan.Win32.Dialer.kp
C:\WINDOWS\loadnew.exe Infected: Trojan.Win32.StartPage.es
C:\System Volume Information\_restore{503561DF-F189-41DB-AB9F-C56489A61DBD}\RP343\A0043729.exe Infected: Trojan.Win32.Dialer.kp
C:\System Volume Information\_restore{503561DF-F189-41DB-AB9F-C56489A61DBD}\RP354\A0044971.DLL Infected: Trojan-Clicker.Win32.Agent.ac
C:\System Volume Information\_restore{503561DF-F189-41DB-AB9F-C56489A61DBD}\RP364\A0048195.EXE Infected: Trojan-Downloader.Win32.WinShow.p
C:\System Volume Information\_restore{503561DF-F189-41DB-AB9F-C56489A61DBD}\RP364\A0048197.EXE Infected: Backdoor.Win32.Rbot.gen
C:\System Volume Information\_restore{503561DF-F189-41DB-AB9F-C56489A61DBD}\RP364\A0048198.exe Infected: Backdoor.Win32.Small.eo

Scan process completed.




y el log de hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:30:48, on 17/09/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Archivos de programa\Antivirus\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Antivirus\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Antivirus\Panda Antivirus Platinum\AVENGINE.EXE
C:\Archivos de programa\Antivirus\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 4.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd .exe
C:\Archivos de programa\Creative\ShareDLL\MediaDet.Exe
C:\ARCHIV~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Archivos de programa\USB FlashDisk\UFD Utility 2003\ufdlmon.exe
C:\Archivos de programa\USB FlashDisk\UFD Utility 2003\UFDTool.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Antivirus\Panda Antivirus Platinum\pavProxy.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.irm-sa.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Archivos de programa\Panicware\Pop-Up Stopper Companion\CCHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Archivos de programa\Panicware\Pop-Up Stopper Companion\popupus.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Antivirus\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Antivirus\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 4.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KEWelcomeReBoot] E:\welcome.exe
O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd .exe
O4 - HKLM\..\Run: [Camera Detector] C:\ARCHIV~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [UFD Monitor9382] C:\Archivos de programa\USB FlashDisk\UFD Utility 2003\ufdlmon.exe
O4 - HKLM\..\Run: [UFD Utility9382] C:\Archivos de programa\USB FlashDisk\UFD Utility 2003\UFDTool.exe
O4 - HKLM\..\Run: [Windows Time] winmgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MS taskbar] taskbars.exe
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4
O4 - HKLM\..\RunServices: [Windows Time] winmgr.exe
O4 - HKLM\..\RunServices: [MS taskbar] taskbars.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Time] winmgr.exe
O4 - HKCU\..\Run: [MS taskbar] taskbars.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=http:\\www.irm-sa.es
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{345676B6-197A-4E37-84C6-7BA315DA6778}: NameServer = 80.58.61.250 80.58.61.254
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Antivirus\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Antivirus\Panda Antivirus Platinum\pavsrv51.exe


por favor decirme que mas cosas puedo hacer, muchas gracias!!

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Pasa al menos 2 de estos Antivirus Online

4) Reinicia a prueba de fallos

5) Ejecuta HijackThis con todos los programas cerrados y dale FIX:

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [KEWelcomeReBoot] E:\welcome.exe

O4 - HKLM\..\Run: [Windows Time] winmgr.exe

O4 - HKLM\..\Run: [MS taskbar] taskbars.exe

O4 - HKLM\..\RunServices: [Windows Time] winmgr.exe

O4 - HKLM\..\RunServices: [MS taskbar] taskbars.exe

O4 - HKCU\..\Run: [Windows Time] winmgr.exe

O4 - HKCU\..\Run: [MS taskbar] taskbars.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARCHIV~1\MESSEN~1\MSMSGS.EXE (file missing)

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)

6) Busca y elimina estos archivos:

C:\WINDOWS\SYSTEM32\.exe
C:\WINDOWS\SYSTEM32\taskbars.exe
C:\WINDOWS\SYSTEM32\rpcclient.exe
C:\WINDOWS\SYSTEM32\.pif
C:\WINDOWS\internt.exe
C:\WINDOWS\loadnew.exe
winmgr.exe
taskbars.exe
C:\WINDOWS\System32\vbsys2.dll

Para archivos que no se dejen eliminar usa KillBox

7) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

8) Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

9) Reinicia normal y nos cuentas los resultados.

Busca este archivo, analízalo en Virus Total y cópianos los resultados:

E:\welcome.exe

Saludos

Muchas gracias!! ahora me va bastante bien.

sobre el archivo welcome.exe no se porque habrá salido, pero el disco E:\ es la unidad de cd y no tenia ningun cd metido.

Pues por eso me resultó extraño, ya que welcome.exe en principio es legítimo (bienvenida de windows)...¿pero que hacía ahi?

Bueno si te es posible búscalo y lo analizas...

Si no lo encuentras y ya no te aparece en tu log, confírmanos cómo va todo para poder dar el tema por solucionado.

Saludos

Siento haber tardado tanto en responder, pero ya me funciona correctamente y puede dar el tema por cerrado.

No he encontrado el welcome.exe y no me aparece en otros logs que he realizado.

Muchas gracias por todo