Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Mi problema es que mi ordenador ha sufrido una gripe de las hermonsas. Ya he eliminado practicamente todo hloader, etc..., gracias al PandaAntivirus y el Microtrend.

El problema es que sigo teniendo dos procesos sospechosos MDM.exe (que aunque es del windows nunca lo he tenido por lo que sospecho que es lago malo). En cuanto se arranca el explorer aparece otro que es mhta.exe que también es de windows pero que se puede utilizar para explotar vulnarabilidades (según he leido). Estos dos me dan que sospechar.

Mi mayor problema: REGISTRO INACCESIBLE ¿como puedo arreglarlo?
OTRO PROBLEMA: infectado por Vundo (pop-ups de winfixer a todas horas)

La salida del Hijack es:

Logfile of HijackThis v1.99.1
Scan saved at 12:25:05 a.m., on 06/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Archivos de programa\NetLimiter\NetLimiter.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe
C:\windows\System32\ZoneLabs\vsmon.exe
C:\windows\System32\taskmgr.exe
C:\windows\explorer.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Documents and Settings\Biriru\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {67707324-9B92-C833-B7A1-C259AF88ACEA} - C:\windows\System32\bdvsus.dll
O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\windows\System32\fcywx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NetLimiter] C:\Archivos de programa\NetLimiter\NetLimiter.exe /s
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: Win32 Classes -
O20 - Winlogon Notify: fcywx - C:\windows\System32\fcywx.dll
O23 - Service: TCP/IP NetBIOS Connections (nbconn) - Unknown owner - C:\WINDOWS\winstub.exe (file missing)
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)
O23 - Service: Windows Spooler (winspool32) - Unknown owner - C:\WINDOWS\spool.exe (file missing)

Se que estoy infectado por Vundo pero no puedo eliminarlo utilizando vundofix porque el registro es inaccesible.

A ver que ayudas recibo. Gracias.

Hola biriru, Bienvenido a Infospyware.

Tienes q ir a *windowsupdate para tu S.O. y AQUI PARA EL I.E. y ponerte los parches q te faltan.

*La ubicación del hijackthis,no es la mas idónea.Eliminalo y despues le pasas el, * RegSeeker para limpiar el registro y su manual pasalo varias veces hasta q ya no te salga nada.

Y de aqui puedes bajar el nuevo *HijackThis

Tambien te deverias de poner un antivirus.

Ahora ya podemos seguir con el reporte.

Realiza todos los pasos sin saltarte ninguno,por favor.

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

*Ver archivos ocultos en todos los Windows

*Apagar Restaurar Sistema (Systema Restore)

*Reinicia el PC en Modo a prueba de fallos

Ejecuta el hijackthis y con todos lo programas cerrados marca las siguientes entradas y pulsa en FIX Checked:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {67707324-9B92-C833-B7A1-C259AF88ACEA} - C:\windows\System32\bdvsus.dll
O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\windows\System32\fcywx.dll

O16 - DPF: Win32 Classes
O20 - Winlogon Notify: fcywx - C:\windows\System32\fcywx.dll

Sin reiniciar,busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes eliminarlos.

Le vas poniendo que NO a reiniciar hasta que pongas el ultimo y ahi le pones que SI para que reinicie y elimine estos archivos infectados.

C:\windows\System32\bdvsus.dll
C:\windows\System32\fcywx.dll

Pasa estas herramientas:

Spy Sweeper 4.5

*Disk Cleaner para limpiar cookis y temporales

* RegSeeker para limpiar el registro y su manual pasalo varias veces hasta q ya no te salga nada.

Reinicia y te conectas a la red.Y reactiva la opción de restaurar el sistema.

Pones otro log para ver como esta todo y nos cuentas los resultados.

*Si tienes alguna duda,puedes imprimir las instrucciones.

saludos

Muchas gracias por la ayuda.

Parece que algo he arreglado, aunque no he podido seguir todos tus consejos por falta de tiempo. Me voy de viaje y tengo que dejarle esto listo a mi padre. De momento funciona y lo he eliminado un poco por las bravas. Cuando vuelva y tenga tiempo lo intentaré dejar maqueado.

Algunas aclaraciones a tus consejos y porqué no podré seguirlos:

- No tengo el windows XP con todos sus parches por falta de potencia en el ordenador (k6-2 400). Lo he dejado con el SP1 y no intentó actualizar nada más porque enseguida me mete el SP2 y entonces el ordenador se muere

- No tengo antivirus porque entonces el ordenador no puede con la risa.

- Tengo un cortafuegos capatodo (o casi todo).

Con esta configuración la única forma en la que entran los virus es cuando a mi padre se le ocurre no fijarse en determinados correos sospechosos (tipo en blanco con attachment, etc...)

Se que no estoy superprotegido, pero durante 2 años nunca me había entrado nada. En esta ocasión fue la ejecución de un attachment malicioso que se cargo el cortafuegos y claro, cuando vine a casa y lo vi pues el ordenador tenía desde garrapatas a piojos.

Hola biriru

Mira de instalarle el *SpywareBlaster 3.4 manual q apenas consume y es muy efectivo.

Sobre el cortafuegos el Sygate es el q menos consume.

Ya diras algo cuando vuelvas de viage.

saludos y q lo pases bien.

Después de tqan largo tiempo de viaje :-) te contesto a tu último mensaje.

Muchas gracias por las recomendaciones. De momento parece que el ordenador está limpio y he instalado el spyblaster que me recomendaste.

Muchas Gracias.