Hola a todos, despues de leeros durante un tiempo hoy necesito de vuestra ayuda.
Tengo un equipo de un conocido infectado con este virus que no se deja borrar, despues de hacer los once pasos que recomendais para limpiar virus y troyanos (no me deja pasar antivirus online), paso el Mcaffe que tengo en el ordenador actualizado y solo detecta esto:

1) rofl.sys = Virus W32/Tilebot-X en archivo smtpsvc.exe (no lo puede limpiar, eleiminar, ni migrar)

2) SHOST = en archivo svchost.exe (lo limpia al arrancar pero cuando vuelvo a encender vuelve a estar ahi)

Aqui pongo el log:

Logfile of HijackThis v1.99.1
Scan saved at 22:40:33, on 08/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\dlhost.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\smtpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\noxsl.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.easysearch4you.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.easysearch4you.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.easysearch4you.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.easysearch4you.com/sp2.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\mllji.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\ddcca.dll
O4 - HKLM\..\Run: [UsJ] C:\WINDOWS\System32\acpszr.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\RunServices: [UsJ] C:\WINDOWS\System32\acpszr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1046.dll,InstantAccess
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O20 - Winlogon Notify: ddcca - C:\WINDOWS\System32\ddcca.dll
O20 - Winlogon Notify: mllji - C:\WINDOWS\SYSTEM32\mllji.dll
O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Decirme si se puede borrar alguna entrada y archivo mas de los que borre porque hay algunas que no estoy seguro.

Gracias por vuesta ayuda.

Hola, te doy la bienvenida al Foro de InfoSpyware.

Descarga, actualiza y ejecuta el programa Spy Sweeper 4.5

Realiza un escaneo online con "Ewido Scanner Online"

Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos pegas un nuevo log contándonos los resultados.

Salu2

Hola de nuevo.
Despues de pasado el ewido 3.5, que me limpio varios virus, no me dejaba pasarlo en on-line.

Limpie con el disk cleaner y reg-seeker.

Aranque en modo seguro y le pase el ad-ware y spybot, limpio varias cosas, volviendo a pasar el disk cleaner y el reg-seeker. Por seguridad volvi a pasar el ewido 3.5 y me detecto tres virus que segun el programa los eliminaba:

- rofl.sys = que ciertamente lo elimino.
- mllji.dll = que sigue estando ahi y no se puede borrar por estar en uso.
- ddcca.dll = que sigue estando ahi y no se puede borrar por estar en uso.

Despues de esto ya solo me arranca bien en modo seguro, en modo normal se realentiza mucho, por lo que el log que pego es arrancando en modo seguro y aparecen esos dos archivos que no puedo borrar ni hacer Fix para que no los carge.

Logfile of HijackThis v1.99.1
Scan saved at 22:33:53, on 11/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\SYSTEM32\mllji.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\ddcca.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O20 - Winlogon Notify: ddcca - C:\WINDOWS\System32\ddcca.dll
O20 - Winlogon Notify: mllji - C:\WINDOWS\SYSTEM32\mllji.dll
O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Espero vuestra ayuda, si hay algun archivo mas que eliminar y si los dos archivos antes mencionados se pueden borrar con el kill-box.

Saludos

Hola, exactamente los archivos que te diga que estan en uso con KillBox poniendo la ruta exacta donde estos se encuentran los podes eliminar.

Sacalos y luego nos contas los resultados.

Salu2

Hola de nuevo.

Esto cada dia me desconcierta mas, resulta que cuando ayer pase el hijackthis habia desaparecido las entradas referentes a los archivos fofl.sys y mllji.dll, asi como este ultimo archivo.

Como solo me quedaba la entrada y archivo ddcca.dll me dispuse a eliminarlo con el killbox, pero cuando reiniciaba seguia ahi el archivo. Como habia leido algo parecido con otros archivos en este foro para un virus lamado Vundo, utilice la herramienta Vundofix.exe con la que cosegui borrar el archivo y eliminar la entrada.

Volvi a pasar disk cleaner, ad-ware, spybot, ewido y regeseker haciendo una limpieza de todo lo posible, reinicie en modo normal y funcionaba bien hasta que me conectaba a internet que se volvia a ralentizar como antes y en el log no aparecia nada sopechoso, cansado de todo me probe a actualizar el windows Xp a SP2, para mi sorpresa parece que ahora funciona correctamente.

Pase dos antivirus on-line (antes no me dejaba porque en la configuracion del explorer estaba puesto seguridad alta) y no encontro nada.

Todabia queda el archivo dlhost.exe en el log que ya no esta en el ordenador, lo he buscado a conciencia, pero no lo borra del log y en la lista de proceso aparece cargado, lo detengo y vuelve a aparecer en un par de segundos.

Logfile of HijackThis v1.99.1
Scan saved at 23:19:18, on 15/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\dlhost.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\Archivos de programa\Network Associates\VirusScan\shstat.exe
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Gracias por vuesta ayuda.

Lo subo para que me aconsejeis sobre esa aplicacion "dlhost.exe" que no existe le archivo en el ordenador y sin embargo se carga la aplicación al arrancar el ordenador y no me deja borrarla con el Hijack.

¿Queda algo mas para borrar?

Saludos y gracias.

Hola

Escanea el sistema con el antivirus Norton Antivirus System 2005 Online, sigue los pasos iniciales del enlace, pero usa sólo el Norton.

Ya nos contarás.

Saludos.

Ya dije que pase dos antivirus on-line, aunque no dije cuales, el Ewido y el Norton, pero ninguno detecta nada y tambien pase el Macafee del ordenador actualizado que tengo instalado y nada.

Por eso mis dudas de que se haya borrado el virus pero quede algo cargado que no afecte al funcionamiento, por lo menos de momento.

Tambien tenia dudas de esta linea:
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

Saludos.

A) Ir a INICIO > EJECUTAR > y ahi pones Services.msc y le das OK
B) En el listado que aparece de los servicios de Win tenes que buscar DynamicHost
C) Click en "DynamicHost" y en el panel de la iz presiona "STOP"
D) Click con el botón derecho del mouse, te vas a "Propiedades" y le pones Disabled
E) Ejecuta HijackThis y vas a Config -> Misc Tools -> Delete an NT service.
F) En la pantalla de eliminar pones: DLHOST y OK
G) Cerra HijackThis y vas a Inicio > Ejecutar > y ahi pones sc delete DLHOST y OK.

Ejecuta HijackThis y dale Fix a esta entrada:

O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINDOWS\dlhost.exe

Y con KillBox elimina este archivo:

C:\WINDOWS\dlhost.exe

Reinicia y nos contas los resultados.

Salu2