• Registrarse
  • Iniciar sesión


  • Resultados 1 al 3 de 3

    Windows XP lento luego de worm

    Resumen del tema: Windows XP lento luego de worm - Hola a todos, un saludo cordial Primero que todo, los felicito por el excelente foro que tienen. Ahora si procedo a comentarles el caso: Tengo una máquina Dell Inspiron 1300 con 2 GB de memoria ...

    1. #1
      Usuario Avatar de amcfire
      Registrado
      jun 2008
      Ubicación
      Colombia
      Mensajes
      2

      Malware Windows XP lento luego de worm

      Hola a todos, un saludo cordial

      Primero que todo, los felicito por el excelente foro que tienen. Ahora si procedo a comentarles el caso:

      Tengo una máquina Dell Inspiron 1300 con 2 GB de memoria RAM que está funcionando super lento.

      El asunto comenzo luego de insertar una memoria USB que mucho despues me enteré que estaba infectada de virus (en realidad un worm) que se copiaba automáticamente a las nuevas memorias que se colocaban en la máquina. Al parecer el bicho vulneraba la seguridad de la máquina y abria puertos. El antivirus Panda no lo detectó.

      El proceso de eliminación fue escaneando la máquina por kaspersky online y eliminando los archivos sospechosos por un linux que tengo instalado en el PC. Las memorias dejaron de infectarse, y el rendimiento de la máquina, mejoró un poco. sin embargo sigue muy lenta y no da su rendimiento habitual.

      El bicho detectado por kaspersky fue:
      C:\System Volume Information\_restore{59E9372C-D9D1-44E0-AE68-9C6A79BA3114}\RP28\A0001171.exe Infectados: Trojan-DDoS.Win32.Agent.bs

      Ya quité el Panda e instalé el kaspersky, pero no se que más hacerle al PC.

      Agradesco las ideas que tengan para recuperar la velocidad de mi máquina.

      Por si sirve de algo, adjunto la información obtenida por el HjackThis y de antemano, muchas gracias por sus respuestas.

      El log del Hjackthis es:
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 08:25:07 a.m., on 16/06/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16640)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\WLTRYSVC.EXE
      C:\WINDOWS\System32\bcmwltry.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
      C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\stsystra.exe
      C:\WINDOWS\system32\WLTRAY.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
      C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
      C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
      C:\ARCHIV~1\MI3AA1~1\rapimgr.exe
      C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE
      C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
      C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ebc.com.co/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebc.com.co/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ebc.com.co/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por EBC INGENIERIA S.A.
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
      O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll (file missing)
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll (file missing)
      O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
      O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
      O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
      O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
      O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\Run: [SpyBrowser] C:\Archivos de programa\SpyBro\SpyBro.exe /autostart
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
      O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
      O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
      O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
      O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
      O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
      O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
      O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
      O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = EBCBTA.COM
      O17 - HKLM\Software\..\Telephony: DomainName = EBCBTA.COM
      O17 - HKLM\System\CCS\Services\Tcpip\..\{0A9F6012-A04C-4ABD-A529-54E8BF2D6D23}: Domain = ebcbta.com
      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = EBCBTA.COM
      O17 - HKLM\System\CS1\Services\Tcpip\..\{0A9F6012-A04C-4ABD-A529-54E8BF2D6D23}: Domain = ebcbta.com
      O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = EBCBTA.COM
      O17 - HKLM\System\CS2\Services\Tcpip\..\{0A9F6012-A04C-4ABD-A529-54E8BF2D6D23}: Domain = ebcbta.com
      O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
      O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
      O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

      --
      End of file - 8253 bytes


      y el Startupthis es

      StartupList report, 16/06/2008, 08:31:23 a.m.
      StartupList version: 1.52.2
      Started from : C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.EXE
      Detected: Windows XP SP2 (WinNT 5.01.2600)
      Detected: Internet Explorer v7.00 (7.00.6000.16640)
      * Using default options
      ==================================================

      Running processes:

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\WLTRYSVC.EXE
      C:\WINDOWS\System32\bcmwltry.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
      C:\WINDOWS\Explorer.EXE
      C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\stsystra.exe
      C:\WINDOWS\system32\WLTRAY.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
      C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
      C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
      C:\ARCHIV~1\MI3AA1~1\rapimgr.exe
      C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE
      C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

      --------------------------------------------------

      Listing of startup folders:

      Shell folders Common Startup:
      [C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]
      Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

      --------------------------------------------------

      Checking Windows NT UserInit:

      [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      UserInit = C:\WINDOWS\system32\userinit.exe,

      --------------------------------------------------

      Autorun entries from Registry:
      HKLM\Software\Microsoft\Windows\CurrentVersion\Run

      Broadcom Wireless Manager UI = C:\WINDOWS\system32\WLTRAY.exe
      igfxtray = C:\WINDOWS\system32\igfxtray.exe
      igfxhkcmd = C:\WINDOWS\system32\hkcmd.exe
      igfxpers = C:\WINDOWS\system32\igfxpers.exe
      SunJavaUpdateSched = "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
      AVP = "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

      --------------------------------------------------

      Autorun entries from Registry:
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run

      ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
      H/PC Connection Agent = "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
      msnmsgr = "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
      SpyBrowser = C:\Archivos de programa\SpyBro\SpyBro.exe /autostart

      --------------------------------------------------

      Autorun entries in Registry subkeys of:
      HKLM\Software\Microsoft\Windows\CurrentVersion\Run

      [OptionalComponents]
      =

      --------------------------------------------------

      File association entry for .TXT:
      HKEY_CLASSES_ROOT\txtfile\shell\open\command

      (Default) = notepad.exe %1

      --------------------------------------------------

      Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

      Shell=*INI section not found*
      SCRNSAVE.EXE=*INI section not found*
      drivers=*INI section not found*

      Shell & screensaver key from Registry:

      Shell=Explorer.exe
      SCRNSAVE.EXE=C:\WINDOWS\system32\logon.scr
      drivers=*Registry value not found*

      Policies Shell key:

      HKCU\..\Policies: Shell=*Registry value not found*
      HKLM\..\Policies: Shell=*Registry value not found*

      --------------------------------------------------


      Enumerating Browser Helper Objects:

      (no name) - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
      (no name) - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
      (no name) - (no file) - {7E853D72-626A-48EC-A868-BA8D5E23E045}
      (no name) - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll - {9030D464-4C02-4ABF-8ECC-5164760863C6}
      (no name) - C:\Archivos de programa\Windows Live Toolbar\msntb.dll (file missing) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}

      --------------------------------------------------

      Enumerating Task Scheduler jobs:

      Comprobar actualizaciones de Windows Live Toolbar.job

      --------------------------------------------------

      Enumerating Download Program Files:

      [CKAVWebScan Object]
      InProcServer32 = C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
      CODEBASE = http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

      [Shockwave Flash Object]
      InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9f.ocx
      CODEBASE = http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

      --------------------------------------------------

      Enumerating ShellServiceObjectDelayLoad items:

      PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
      CDBurn: C:\WINDOWS\system32\SHELL32.dll
      WebCheck: C:\WINDOWS\system32\webcheck.dll
      SysTray: C:\WINDOWS\system32\stobject.dll
      WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

      --------------------------------------------------
      End of report, 6,177 bytes
      Report generated in 0.047 seconds

      Command line options:
      /verbose - to add additional info on each section
      /complete - to include empty sections and unsuspicious data
      /full - to include several rarely-important sections
      /force9x - to include Win9x-only startups even if running on WinNT
      /forcent - to include WinNT-only startups even if running on Win9x
      /forceall - to include all Win9x and WinNT startups, regardless of platform
      /history - to list version history only

    2. #2
      Ex-Colaboradora Avatar de Alexia1
      Registrado
      jun 2007
      Ubicación
      España
      Mensajes
      2.673

      Re: Windows XP lento luego de worm

      Hola, si quieres que te miren el HjackThis, debes de pasarlo al foro correspondiente:

      Foro Oficial de HijackThis en español - Foro de Spyware

      Aparte puedes hacer esto otro:

      Pasar antivirus actualizado, antiespía como spybot o ad-aware, también va muy bien este.
      Manual del SUPERAntiSpyware, luego:

      Limpieza de registro con regseek o easycleaner, y terminar con un scandisk completo.

      El regseek está: Manual del RegSeeker

      easycleaner:
      http://personal.inet.fi/business/ton...s/EClea2_0.exe


      El scandisk, que se encuentra en propiedades del disco C: en herramientas, reparar errores, lo marcas y reinicia el pc.

      Antivirus online: creo que en la página de alertas antivirus se puede encontrar, y también en esta en:

      Foro de Spyware - Avisos en Foro : Foro de Spyware - Avisos en Foro : Foro de Virus y Spywares


      Saludos

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de amcfire
      Registrado
      jun 2008
      Ubicación
      Colombia
      Mensajes
      2

      Sonrisa Re: Windows XP lento luego de worm

      Ok, muchas gracias, ya pegue el mensaje en el foro de HJackThis, voy a hacer los procedimientos que me sugeriste y te cuento...