Hola, he leido por el foro muchas respuestas para intentar arreglarme con los problemas que han tenido los otros, pero al final me toca a mi tambien pedir ayuda. Mi problema es un gusano que aunque lo elimine con el spybot o con el ad-ware vuelve a aparecer. cuando arranco intenta buscar un moden, y al darse cuenta que no hay moden, me muestra el mensaje. Me crea en el escritorio un icono "XXX" que tira de la carpeta c:\archivos de programa\websiteviewer y aunque entro en modo a prueba de fallos y la elimino, paso el spybot, ad-ware, diskcleaner, coolwebsearch y el panda y cuando vuelvo a arrancar ¡esta ahi de nuevo!. Bueno, no es necesario ni que reinicie, porque al volver a pasar por segunda vez el spyboot, lo que marca como DSO, lo vuelve a encontrar. Ya no se que mas hacer o en que orden de los pasos estoy haciendo mal. Si algo como el "DameWare Mini Remote Control" puede resultar sospechoso, no lo es, porque lo he instalado yo.

El resultado del spybot que no consigo eliminar (aunque el me dice que lo ha eliminado, es despues de la segunda pasada y eliminando todo lo posible en la primera) es:
DSO Exploit: Data source object exploit (Cambio en el registro, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Cambio en el registro, nothing done)
HKEY_USERS\S-1-5-21-2243138800-927890586-840360825-500\Software\Microsoft\Windows\CurrentVersion\Inte rnet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Cambio en el registro, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Internet Settings\Zones\0\1004!=W=3


--- Spybot - Search && Destroy version: 1.3 ---
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi

Este es mi log de HIJACKTHIS

Logfile of HijackThis v1.99.1
Scan saved at 10:30:03, on 01/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\XPsys.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\pavfn\Remupd.exe
C:\WINDOWS\spwlo.exe
C:\WINDOWS\System32\rundll32.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\documents and settings\juezia1\escritorio\winln.exe
C:\WINDOWS\System32\CTFMON32.EXE
C:\WINDOWS\System32\CSRSSU.EXE
C:\WINDOWS\System32\MDM.EXE
C:\DOCUME~1\juezia1\CONFIG~1\Temp\sa25.tmp.exe
D:\spyware\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINDOWS\sehlp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ScanInicio] c:\pavfn\platinum\inicio.exe
O4 - HKLM\..\Run: [APVXDWIN] c:\pavfn\platinum\APVXDWIN.EXE
O4 - HKLM\..\Run: [Agente] c:\pavfn\Remupd.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - HKLM\..\Run: [CacheLoader] C:\WINDOWS\spwlo.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\se.dll,DllInsta ll
O4 - HKLM\..\RunServices: [PandaScheduler] c:\pavfn\platinum\Pavsched.exe
O4 - HKCU\..\Run: [Otas] C:\Documents and Settings\juezia1.S2408941000SMB\Datos de programa\aoua.exe
O4 - HKCU\..\Run: [Uymoox] C:\WINDOWS\System32\xnpcbqs.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winltmpv] c:\documents and settings\juezia1\escritorio\winln.exe
O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - HKCU\..\Run: [CTFMON32] C:\WINDOWS\System32\CTFMON32.EXE
O4 - HKCU\..\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1B4D7ED-7FB9-4397-8C72-E8418B0509CA}: NameServer = 10.12.1.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{A1B4D7ED-7FB9-4397-8C72-E8418B0509CA}: NameServer = 10.12.1.2
O21 - SSODL: eplrr - {5B219527-1E7A-4740-B979-80772A47AC1C} - C:\WINDOWS\System32\eplrr3.dll
O23 - Service: AutoExNT - Unknown owner - C:\WINDOWS\system32\AutoExNT.Exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: e-DiagTools LAN Configuration Agent (edtlancfg) - Hewlett-Packard - C:\Archivos de programa\HP\e-DiagTools\edtsrv.exe
O23 - Service: Panda Antivirus Xp Distribution (ExecPav) - Unknown owner - c:\pavfn\ExecPav.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - c:\pavfn\platinum\Pavsrv51.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\TightVNC\WinVNC.exe" -service (file missing)


Muchas gracias

Hola

Bueno, veamos que trae ese log...

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Desactivar la restauración del sistema
3. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»

Deberás marcar estas líneas en el Hijackthis para reparar:

• C:\WINDOWS\XPsys.exe
• C:\WINDOWS\winhost.exe
• C:\WINDOWS\winhost.exe
• C:\WINDOWS\winhost.exe
• C:\WINDOWS\winhost.exe
• C:\WINDOWS\winhost.exe
• C:\WINDOWS\spwlo.exe
• C:\documents and settings\juezia1\escritorio\winln.exe
• C:\WINDOWS\System32\CTFMON32.EXE
• C:\WINDOWS\System32\CSRSSU.EXE
• C:\DOCUME~1\juezia1\CONFIG~1\Temp\sa25.tmp.exe
• R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
• R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
• O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINDOWS\sehlp.dll
• O4 - HKLM\..\Run: [Tapisys] C:\WINDOWS\System32\tss.exe
• O4 - HKLM\..\Run: [CacheLoader] C:\WINDOWS\spwlo.exe
• O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\se.dll,DllInsta ll
• HKCU\..\Run: [winltmpv] c:\documents and settings\juezia1\escritorio\winln.exe
• O4 - HKCU\..\Run: [Tapisys] C:\WINDOWS\System32\tss.exe
• O4 - HKCU\..\Run: [CTFMON32] C:\WINDOWS\System32\CTFMON32.EXE
• O4 - HKCU\..\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE
• O21 - SSODL: eplrr - {5B219527-1E7A-4740-B979-80772A47AC1C} - C:\WINDOWS\System32\eplrr3.dll
• O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Archivos de programa\TightVNC\WinVNC.exe" -service (file missing)

Deberás borrar estos archivos y carpetas

• C:\WINDOWS\XPsys.exe
• C:\WINDOWS\winhost.exe
• C:\WINDOWS\spwlo.exe
• C:\documents and settings\juezia1\escritorio\winln.exe
• C:\WINDOWS\System32\CTFMON32.EXE
• C:\WINDOWS\System32\CSRSSU.EXE
• C:\DOCUME~1\juezia1\CONFIG~1\Temp\ (borra todo lo que esté en esta carpeta)
• C:\WINDOWS\sehlp.dll
• C:\WINDOWS\System32\tss.exe
• C:\WINDOWS\spwlo.exe
• :\DOCUME~1\ADMINI~1\CONFIG~1\Temp\ (borra todo lo que esté aquí)
• c:\documents and settings\juezia1\escritorio\winln.exe
• C:\WINDOWS\System32\eplrr3.dll

Esto no lo conozco, deberás revisar sus propiedades y ver si pertenece a algo que hayas instalado, si no es así, renómbralo y observa el funcionamiento de tu sistema durante un par de días, si nada va mal, bórralo.

• O4 - HKCU\..\Run: [Otas] C:\Documents and Settings\juezia1.S2408941000SMB\Datos de programa\aoua.exe
• O4 - HKCU\..\Run: [Uymoox] C:\WINDOWS\System32\xnpcbqs.exe

Si borras esos archivos, deberás marcar esto en el hijackthis para reparar

• C:\Documents and Settings\juezia1.S2408941000SMB\Datos de programa\aoua.exe
• C:\WINDOWS\System32\xnpcbqs.exe

Después de haber hecho esas reparaciones, no estaría de más que ejecutaras estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Cwshredder
• Ad-aware SE
• Spybot Search and Destroy
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Te recomiendo que desinstales el spyware doctor por no ser muy fiables sus resultados, en su lugar utiliza el spybot y el ad-aware.

Las entradas O17 serán correctas si estás en alguna red configurada con ip's del tipo 10.x.x.x si no, márcalas para eliminarlas.

Bueno, tienes una buena cantidad de cosas, asegúrate de seguir los pasos cuidadosamente, revisa en el windowsupdate que no tienes ningún parche de seguridad o crítico pendiente de instalar. Y después de hacer estos pasos, ejecuta al menos dos de los análisis en línea que aquí te proponemos, personalmente te recomiendo que hagas el de norton y el de rav antivirus.

Si eneucntran algo que no puedan eliminar, pega aquí mismo el reporte.

Bueno estaremos pendientes de tu respuesta a ver como evoluciona el tema.

Felicidad

Gracias por contestar tan rapido, pero tengo una pequeña duda:
¿que diferencia hay entre reparar y eliminar? Porque yo soy novel en esto, y cuando marco y das a fix, eso ¿repara o elimina? Entiendo que eliminar se refiere a quitar el archivo manualmente?

Gracias

Hola

La diferencia está en que cuando reparas desde el hijackthis, puede hacerlo de varias maneras dependiendod e cuál es la entrada que debe reparar; puede borrar la entrada en el registro para que algo no se ejecute, puede borrar el archivo, puede desregistrar una librería dinámica de memoria, etc.

Por eso cuando te pongo que repares algo y elimines algo, es para estar seguros de que contemplamos todas las posibilidades, al menos la mayoría de ellas.



Felicidad

Muchas gracias, pero la cague. Al final me ha tocado clonar porque no se en que momento o que elimine para que me diera constantes volvados de memoria. Asi que esta solucionado pero a lo bruto.

Un Saludo

Hola

Lástima. pero lo bueno de eso es que ahora puedes prevenir antes de que ocurra.

Recuerda instalasr un antivirus, a ser posible uno pequeño como por ejemplo el Bitdefender Freee Edition v 7. Igualmente un firewall, por ejemplo el Sygate Personal Firewall.

Muy importante que tengas también esto:

• Ad-aware SE
• Spybot Search and Destroy
• RegSeeker.
  SpywareBlaster

También trata de usar firefox u opera como alternativa al explorer.

Y con un poquito de suerte, no te veremos más nunca por aquí...



Pero si has de volver, siempre trataremos de ayudarte lo mejor posible.

SUerte

Felicidad