Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Buenas tardes,
des de hace ya unos dias y despues de bajar un pequeño juego del emule, me empezaron a salir una serie de avisos del firewall del McAfee de intentos de connexion; de repente se quedó bloqueada la maquina y tuve que reiniciar.
La maquina se estaba reinicando correctamente, me pide la contraseña del Windows y de repente me sale un error: Userinit.exe - Error de Aplicacion. La aplicacion no se ha podido inicializar correctamente. En pantalla solo se veia el fondo de escritorio, le di al Ctrl+Alt+Supr y en el administrador de tareas pulse Fichero-->Nueva Tarea y escribi Explorer y asi se inicio el Windows. Aparentemente funcionaba todo correcto pero mas lento de lo normal. Me connecte a Internet abri el Firefox y a los 10 segundos se me cerro solo, lo volvi a abrir y igual; en cambio con el Internet Explorer podia navegar bien.

A los 10 minutos de haber encendido el PC me salio un aviso del McAfee advirtiendo que havia encontrado un virius: Qhosts.apd en el directorio C:\Windows\system32\drivers\etc\hosts pero decia que lo habia desinfectado. En este punto el pc funcionaba correctamente.
El problema es que cada vez que reinicio me hace lo mismo, tengo que escribir Explorer en el administrador de tareas y esperar que McAfee "mate" al virus.

Cosas que he probado:
He pasado el McAfee. (no me encontro nada)
He pasado el Panda Active Scan. (me encontro 4 virus que qutó)
He pasado el Kaspersky On-line Scanner (11 ficheros infectados por 2 virus: Trojan-Spy.HTML.Smitfraud.c y Trojan-Spy.HTML.Wamufraud.bo
He pasado el Spybot Search&Destroy, encontro y quito 7-8 errores.
He pasado el Ad-Aware SE y ha quitado 2 ficheros.
El McAfee y los antispyware tambien los he pasado en Modo a prueba de fallos.
Y finalmente he pasado el HijackThis pero no entiendo muy bien que significa cada cosa, haber si me podeis hechar una mano, abajo adjunto el log.

Logfile of HijackThis v1.99.1
Scan saved at 16:42:48, on 30/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE
C:\WINDOWS\system32\svchost.exe
c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S 2.EXE
C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
c:\archiv~1\mcafee.com\vso\mcvsescn.exe
C:\ARCHIV~1\mcafee.com\mps\mscifapp.exe
C:\ARCHIV~1\McAfee\SPAMKI~1\MSKAgent.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
c:\archiv~1\mcafee.com\vso\mcvsftsn.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe
C:\AVERTV2K\QuickTV.exe
C:\Archivos de programa\ePrompter\ePrompter.exe
C:\Archivos de programa\HJT\HijackThis.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uoc.edu/web/cat/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\ARCHIV~1\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\archivos de programa\mcafee.com\mps\popupkiller.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S 2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB002" /M "Stylus C66"
O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\McAfee.com\Agent\mcupdate.exe
O4 - HKLM\..\Run: [MPSExe] c:\ARCHIV~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\ARCHIV~1\McAfee\SPAMKI~1\MskDetct.exe /startup
O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKAgent.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Archivos de programa\HJT\HijackThis.exe /startupscan
O4 - HKCU\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\config\systemprofile\winupd\w inupd32.exe"
O4 - Startup: ePrompter.lnk = C:\Archivos de programa\ePrompter\ePrompter.exe
O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: QuickTV.lnk = C:\AVERTV2K\QuickTV.exe
O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\bonjour\mdnsnsp.dll' missing
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124694518163
O16 - DPF: {8D83D301-E841-11D1-B155-00600823BCF9} (WebLine Browser Integration Classes) - http://194.179.126.39/webline/applets/msie40x.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.lizardtech.es/software/expressview/webinstall/isetup.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B11D9ED-A33C-4DD4-BAFB-7E5704D8D77F}: NameServer = 80.58.61.250 80.58.61.254
O20 - AppInit_DLLs: PAVWAIT.DLL
O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe
O23 - Service: WinIP - Unknown owner - C:\Archivos de programa\Algenta\WinIP 4\WinIPservice.exe (file missing)
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

Pega el reporte del kaspersky.

¿Has desinstalado el AppServ?
¿Has desinstalado esto? C:\Archivos de programa\Algenta\WinIP 4\

De momento, vas a marcar esta entrada y pulsar en fix checked:

O4 - HKCU\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\config\systemprofile\winupd\w inupd32.exe"

Elimina este directorio:

C:\WINDOWS\system32\config\systemprofile\winupd\

Buenas,
pues no he desinstalado nada de esto, de hecho no se ni lo que es esto del AppServ y el WinIP este.

Bueno ya he hecho esto que me has dicho del HijackThis. Tengo que volver
a pegar el log?

Una cosa, que a lo mejor lo estoy haciendo mal, el HijackThis lo estoy pasando en modo normal y no en modo a prueba de fallos.

Te pego el log del Kaspersky:

Saturday, October 29, 2005 20:09:46
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 29/10/2005
Kaspersky Anti-Virus database records: 147546
Scan Settings
Scan using the following antivirus database standard
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
A:\
C:\
Scan Statistics
Total number of scanned objects 67878
Number of viruses found 2
Number of infected objects 16
Number of suspicious objects 0
Duration of the scan process 5827 sec

Infected Object Name Virus Name
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0100.eml/[From Smith Barney, CitiGroup ][Date Mon, 07 Feb 2005 18:50:17 -0300]/html Infected: Trojan-Spy.HTML.Smitfraud.c
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0100.eml Infected: Trojan-Spy.HTML.Smitfraud.c
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0100.msg/Smith Barney - security maintenanc.rtf Infected: Trojan-Spy.HTML.Smitfraud.c
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0100.msg Infected: Trojan-Spy.HTML.Smitfraud.c
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0435.eml/[From Washington Mutual ][Date Sun, 20 Feb 2005 14:06:48 -0100]/html Infected: Trojan-Spy.HTML.Wamufraud.bo
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0435.eml Infected: Trojan-Spy.HTML.Wamufraud.bo
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0435.msg/Washington Mutual Customer Notice: Details Confirmatio.rtf Infected: Trojan-Spy.HTML.Wamufraud.bo
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0435.msg Infected: Trojan-Spy.HTML.Wamufraud.bo
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0540.eml/[From Smith Barney, CitiGroup ][Date Sat, 26 Feb 2005 04:32:58 -0100]/html Infected: Trojan-Spy.HTML.Smitfraud.c
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0540.eml Infected: Trojan-Spy.HTML.Smitfraud.c
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0540.msg/0fficial Information To Client Of Smith Barne.rtf Infected: Trojan-Spy.HTML.Smitfraud.c
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0540.msg Infected: Trojan-Spy.HTML.Smitfraud.c
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0547.eml/[From Smith Barney, CitiGroup ][Date Sat, 26 Feb 2005 04:32:58 -0100]/html Infected: Trojan-Spy.HTML.Smitfraud.c
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0547.eml Infected: Trojan-Spy.HTML.Smitfraud.c
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0547.msg/0fficial Information To Client Of Smith Barne.rtf Infected: Trojan-Spy.HTML.Smitfraud.c
C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\M000000 0547.msg Infected: Trojan-Spy.HTML.Smitfraud.c
Scan process completed.

AppServ: http://www.appservnetwork.com/
WinIP: http://www.dynamicdnsclient.com/winip/

Confirma que no existan y marcas estas dos entradas:

• O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)
• O23 - Service: WinIP - Unknown owner - C:\Archivos de programa\Algenta\WinIP 4\WinIPservice.exe (file missing)

El log que hay que pegar es el de Windows iniciado normalmente.

Lo que te detecta el Kaspersky son correos que ha eliminado el McAfee, no uso ese programa, pero busca que seguro que encuentras como eliminar esos correos. Mira también en tu programa de correo.

No es necesario que pegues otro log, de hecho ya se puede dar por solucionado.
Este tema no se puede tratar con el HijackThis, abre un tema nuevo en el foro de Ayuda General.

Gracias Wisp ahora lo pruebo.
Una cosa solamente, me extraña que eso sean correos eliminados por McAfee porque no utilizo el SpamKiller. Utilizo el Thunderbird y este ya lleva incorporado un antispyware, y el Spamkiller no funciona con Thunderbird.

Saludos.

No le des más vueltas, son correos.

También podrías eliminarlos desde:

C:\Documents and Settings\All Users\Datos de programa\McAfee\SpamKiller\Users\1\Front\2\