Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola a todos, un saludo!!
Paseando por el administrador de tareas encontre el siguiente proceso que no tengo ni la menor idea de que sea (bueno sip, me imagino que es virus): el proceso es "czwuo.exe" ubicado en C:\system32\ he buscado en internet pero encuentro paginas raras y no encuentro informacion al respecto. Espero puedan ayudarme orientandome a encontrar una solucion por favor.

Aprovechando el espacio, cuando me conecto al Windows Live Messenger, mis contactos me dicen que yo les envio un archivo llamado Photos.zip, pero yo personalmente no les envio absolutamente nada, tambien espero puedan ayudarme a corregir ese problema. He intentado con EliStarA pero el problema sigue.
Gracias!!

NOTA: En las configuraciones de Inicio del sistema me aparecen activados los siguiente procesos:
- czwuo.exe (lo desactive pero se activa solo)
- registry32

Sistema Operativo: Microsof Windows XP Profesional, SP2

Hola ramonx Bienvenido al Foro

ese proceso al parecer pertenece a la infeccion del virus del msn que tiens, has lo siguiente:

Descarga lo siguiente pero no lo ejecutes aun :

• MsnCleaner pero no lo ejecutes aun
• Descarga la herramienta SDFix y guardala y descomprimila en tu escritorio pero no la ejecutes aun.

Inicia en Modo a Prueba de Fallos

Guardar el informe q genere y pegalo aqui

Luego

• Ejecuta SDFix.exe en el escritorio, se creará una nueva carpeta en el escritorio, entra en dicha carpeta y ejecuta el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta llamado Report.txt, copia y pega lo que indique ese reporte acá.

Inicia en modo normal y te haces un scanner con del Panda ActiveScan Online y te pegas el reporte aqui tanto del panda como el del msncleaner y tambien el del SDFix

Salu2

Hare lo que me dices al pie d ela letra, aqui posteare los resultados...
comienzo : : : : :

Listo, he hecho como haz dicho pero el proceso czwuo.exe sigue iniciando junto al sistema. Tambien he desactivado Restaurar Sistema.

Aqui dejo los Reportes de MSNCleaner y de SDFix, respectivamente:

- Reporte MSNCleaner 1.5.6 by www.forospyware.com
- Reporte Creado: 28/02/2008 a las 02:53:33 p.m.
- Sistema Operativo: Windows XP
- Modo de Inicio: Prueba de fallos
_________________________________________

Archivos detectados: 1
Archivos eliminados: 1
Archivos no eliminados: 0

C:\WINDOWS\nsreg.dat <--- Eliminado

Archivo Hosts restaurado
------------------------------------------------------------

SDFix: Version 1.149

Run by Administrador on 28/02/2008 at 02:58 p.m.

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\DOCUME~1\ADMINI~1\ESCRIT~1\SDFix

Checking Services :

Name:
e9aa5u1iyraagrxa

Path:
C:\WINDOWS\system32\czwuo.exe /service

e9aa5u1iyraagrxa - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\2_exception.nls - Deleted
C:\WINDOWS\system32\drivers\etc\BackupHosts.bak - Deleted
C:\WINDOWS\system32\winkeybrd32.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-28 15:08:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\BTHPORT\Parameters\Keys\0013eff142c5]
"00194f20cd6c"=hex:01,f8,47,ce,ad,97,86,db,1c,cb,5 6,5f,1d,ac,04,19
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\B THPORT\Parameters\Keys\0013eff142c5]
"00194f20cd6c"=hex:01,f8,47,ce,ad,97,86,db,1c,cb,5 6,5f,1d,ac,04,19

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\Ares\\Ares.exe"="C:\\Archivos de programa\\Ares\\Ares.exe:*:Enabled:Ares p2p for windows"
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"="C:\\Archivos de programa\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Archivos de programa\\iTunes\\iTunes.exe"="C:\\Archivos de programa\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"="C:\\Archivos de programa\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\DOCUME~1\\RAINTE~1\\CONFIG~1\\Temp\\53.exe"=" C:\\DOCUME~1\\RAINTE~1\\CONFIG~1\\Temp\\53.exe:*:E nabled:@xpsp2res.dll,-22005"
"C:\\DOCUME~1\\RAINTE~1\\CONFIG~1\\Temp\\73.exe"=" C:\\DOCUME~1\\RAINTE~1\\CONFIG~1\\Temp\\73.exe:*:E nabled:@xpsp2res.dll,-22005"
"C:\\DOCUME~1\\RAINTE~1\\CONFIG~1\\Temp\\16.exe"=" C:\\DOCUME~1\\RAINTE~1\\CONFIG~1\\Temp\\16.exe:*:E nabled:@xpsp2res.dll,-22005"
"C:\\DOCUME~1\\RAINTE~1\\CONFIG~1\\Temp\\58.exe"=" C:\\DOCUME~1\\RAINTE~1\\CONFIG~1\\Temp\\58.exe:*:E nabled:@xpsp2res.dll,-22005"
"C:\\DOCUME~1\\RAINTE~1\\CONFIG~1\\Temp\\48.exe"=" C:\\DOCUME~1\\RAINTE~1\\CONFIG~1\\Temp\\48.exe:*:E nabled:@xpsp2res.dll,-22005"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"="C:\\Archivos de programa\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :


File Backups: - C:\DOCUME~1\ADMINI~1\ESCRIT~1\SDFix\backups\backup s.zip

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Archivos de programa\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe"
Thu 24 Jan 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 12 Feb 2007 3,096,576 A..H. --- "C:\Documents and Settings\RAInternet\Datos de programa\U3\temp\Launchpad Removal.exe"

Finished!
---------------------------------------------------------------

y por cierto, gracias por darme la bienvenida al foro

Se me olvido incluir el escaner de Panda Antivirus, aqui estan los resultados:


Incidencia Estado Elemento

Virus:W32/SdBot.LRH.worm Desinfectado Sistema Operativo
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\Administrador\Escritorio\SDFix\apps\Proce ss.exe
Virus:Bck/Agent.HZC Desinfectado C:\Documents and Settings\Administrador\Escritorio\SDFix\backups\ba ckups.zip[backups/winkeybrd32.exe]
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\Administrador\Escritorio\SDFix.exe[SDFix\apps\Process.exe]
Spyware:Cookie/Atlas DMT No desinfectado C:\Documents and Settings\RAInternet\Cookies\rainternet@atdmt[2].txt
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\RAInternet\Cookies\rainternet@doubleclick[1].txt

Hola ramonx

Descarga, Instala y/o actualiza y ejecuta
Malwarebytes' Anti-Malware <---instalalo y actualizalo pero no lo ejecutes todavia.
NOTA: Si despues de instalarlo el lenguaje esta en Ingles ve a la pestaña "Settings" y lo cambias a Español.

Malwarebytes' Anti-Malware <---- realiza un escaneo completo del PC y elimina las infecciones que este detecte. El reporte queda guardado en la pestaña "Logs" o "Registros" en español, abres el reporte y copias el contenido para pegarlo en este tema.


Sube estos 2 archivos a Virustotal y me pegas los reportes aqui ya que desconozco esos archivos

• C:\Documents and Settings\All Users\DRM\DRMv1.bak
  
• C:\Documents and Settings\RAInternet\Datos de programa\U3\temp\Launchpad Removal.exe

Descargate OTMoveIt lo guardas en el Escritorio.

• Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que este marcado "Unregister Dll's and Ocx's".
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt nombrado Paste List of Filas / Folders to be moved.

• Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, hace clic en Exit.
• Reinicia el PC (Este paso es muy importante).

Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTMoveIt\MovedFiles.

Despues de reiniciar pegate el reporte del OTmoveit, Malwarebytes, el de virus total y tambien pegate otro del panda online

Salu2