Pc lento y parece que esta infectado

Buscar

		Foro de Spyware » Spyware - Adware - Hijackers - Malwares » Foro Oficial de HijackThis en español
Pc lento y parece que esta infectado

InfoSpyware sortea una T-Shirts

Participa en el sorteo por una "Camiseta Oficial de InfoSpyware" gracias al amigo Enjuto Mojamuto

Para evitar Virus, Spyware y ventanas emergentes, en InfoSpyware recomendamos navegar con: FIREFOX

Foro Oficial de HijackThis en español Analizamos tu log de HijackThis para eliminar Hijackers, Spyware, Adware, ToolBars, Virus, Troyanos y Malwares en gral. Antes lea las Políticas del Foro de HijackThis.

Herramientas

post #1 (permalink)

17/03/05, 16:42:23

Arwen_Galadriel Arwen_Galadriel está offline

Usuario

Registrado: mar 2005

Ubicación: Chile

Mensajes: 3

Pc lento y parece que esta infectado

Buenas tardes a todos... le leido varios comentarios y creo que uds. me podrian ayudar. Hace mas de una semana mi pc fue infectado por un virus, el cual no me permitia hacer nada, las paginas de los navegadores (IE y Firefox) se caian al tratar de correr un antivirus en linea, tampoco podia correr mi antivirus ni instalar otro para poder correrlo..el asunto es que tuve que formatear, ahora me puse a revisar los procesos y aplique google para saber de que se trataba cada uno y me encontre con el userinit.exe... he leido varios comentarios y baje el programa HijackThis v1.99.1, ahora les adjunto el log de dicho programa y espero que me puedan ayudar a ver si tengo mas de esos vichos y poder sacarlo s al fin de mi pc...

Logfile of HijackThis v1.99.1
Scan saved at 17:35:56, on 17-03-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\sistray.EXE
C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 8.exe
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\Archivos de programa\Java\jre1.5.0_01\bin\jucheck.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Makita y Nikole\Escritorio\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inacap.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 8.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1BA5612F-6703-4A5F-8C62-8E09530587CC}: NameServer = 200.72.1.5 200.72.1.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{1BA5612F-6703-4A5F-8C62-8E09530587CC}: NameServer = 200.72.1.5 200.72.1.11
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

esperando su pronta ayuda se despide Arwen_Galadriel

post #2 (permalink)

17/03/05, 17:04:17

Outsider

Usuario

Registrado: feb 2005

Ubicación: Alemania

Mensajes: 381

Re: Pc lento y parece que esta infectado

Bienvenido al foro, ¿Recuerdas como se llamaba el virus que tenías?

No veo gran cosa, salvo que el gestor de descarga que usas flashget no está muy recomendado segun http://www3.ca.com/securityadvisor/p...x?id=453077947 pero no lo conozco aunque precisamente por ello te recomiendo que lo desinstales pero tu decides.

Si optas por desinstalarlo, si no lo consigues y no te aclaras con el link que te dí, vuelve a postear un log.

Es posible que con la eliminación del virus hayas eliminado algo mas y sea por eso que el sistema te vaya algo mal. Prueba con el disco de XP a reinstalar el SO para reparar el sistema.

post #3 (permalink)

17/03/05, 17:47:52

Arwen_Galadriel Arwen_Galadriel está offline

Usuario

Registrado: mar 2005

Ubicación: Chile

Mensajes: 3

Re: Pc lento y parece que esta infectado

gracias por la bienvenida y por responder a mi topic

sobre el nombre del virus, este no lo recuerdo, solo se que por medio del Avast (antivirus) pude eliminarlo y asi también a los archivos que estaban infectados. Despues de eso volvi a formatear el pc y reinstalar Windows.

Sobre el flashget, no creo que sea, ya que antes que me pasara lo del virus ya llevaba bastante tiempo usandolo, pero por precaucion lo acabo de desintalar y no tuve ningun problema al hacerlo.... De igual modo envio ahora el nuevo log que da el Hijacktris...

Se me olvidaba una pregunta, hay un archivo que me pide salida se llama "winpnp32.exe" lo busque en google, pero no me quedo claro a que corresponde. Este archivo es parte de Windows???

Logfile of HijackThis v1.99.1
Scan saved at 18:45:52, on 17-03-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\sistray.EXE
C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 8.exe
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Documents and Settings\Makita y Nikole\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inacap.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 8.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1BA5612F-6703-4A5F-8C62-8E09530587CC}: NameServer = 200.72.1.5 200.72.1.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{1BA5612F-6703-4A5F-8C62-8E09530587CC}: NameServer = 200.72.1.5 200.72.1.11
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe

Se despide Arwen_Galadriel

post #4 (permalink)

18/03/05, 11:06:38

Outsider

Usuario

Registrado: feb 2005

Ubicación: Alemania

Mensajes: 381

Re: Pc lento y parece que esta infectado

No lo veo en el log, pero por el parecer es parte del gusano W32.Wallz.

http://www.symantec.com/avcenter/ven...w32.wallz.html

Esta sería la traducción automática, pero creo que te puede valer, (si sabes ingles te recomiendo el link original)

Cita:

W32.Wallz

Descubierto encendido: De febrero el 07 de 2005

Último puesto al día encendido: De Febrero El 07 De 2005 11:05:55

W32.Wallz es un gusano que las tentativas de explotar el desbordamiento alejado del almacenador intermediario de la seguridad de Microsoft Windows del servicio local de la autoridad (descrito en el boletín MS04-011 de la seguridad de Microsoft). El gusano se separa aleatoriamente explorando las direcciones del IP para las computadoras vulnerables a esta amenaza.
También Conocido Como:
Net-Worm.Win32.Small.b [ Laboratorio De Kaspersky ]

Tipo: Gusano

Longitud De la Infección:
6.578 octetos

Sistemas Afectados:
Windows 2000, Windows 95, Windows 98, Windows Yo, Windows NT, Servidor 2003, Windows.xp De Windows

• Definiciones Del Virus (Updater Inteligente) *
De febrero el 07 de 2005

• ** De las Definiciones Del Virus (™LiveUpdate )
De febrero el 09 de 2005

* Las definiciones inteligentes de Updater se lanzan diariamente, pero requieren transferencia directa y la instalación manuales.
Chasque aquí para descargar manualmente.

** Las definiciones del virus de LiveUpdate se lanzan generalmente cada miércoles.
Chasque aquí para las instrucciones en usar LiveUpdate.

Salvaje
• Número de infecciones: 0 - 49
• Número de sitios: 0 - 2
• Distribución geográfica: Bajo
• Contención de la amenaza: Fácil
• Retiro: Moderado
Métrica De la Amenaza

Salvaje:
Bajo Daños:
Bajo Distribución:
Medio

Daños
• Disparador De la Carga útil: n/a
• Carga útil: n/a
o El e-enviar de la escala grande: n/a
o Suprime archivos: n/a
o Modifica archivos: n/a
o Degrada funcionamiento: n/a
o Causa inestabilidad del sistema: n/a
o Lanza el Info confidencial: n/a
o Compromete ajustes de la seguridad: n/a
Distribución
• Tema del email: n/a
• Nombre del accesorio: n/a
• Tamaño del accesorio: n/a
• Grupo fecha/hora del accesorio: n/a
• Puertos: El TCP vira 445 y 6667 hacia el lado de babor.
• Impulsiones compartidas: n/a
• Blanco de la infección: n/a

Cuando se ejecuta W32.Wallz, realiza las acciones siguientes:
1. Crea una copia de sí mismo como %System%\winpnp32.exe.

Nota: %System% es una variable que refiere a la carpeta del sistema. Por defecto éste es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows.xp).
2. Crea un servicio con las características siguientes:

Nombre Del Servicio: winpnp32
Nombre De la Exhibición: Conductor 32-bit De Windows PnP
Trayectoria De la Imagen: %System%\winpnp32.exe
Tipo de lanzamiento: Automático
3. Crea los subkeys siguientes del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINPNP32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\winpnp32

para funcionarse como servicio.
4. Agrega el valor:

"EnableDCOM" = "Y"

al subkey del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

para permitir DCOM.
5. Agrega el valor:

"restrictanonymous" = "dword:00000001"

al subkey del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa

para restringir el acceso anónimo a las partes de la red.
6. Crea el archivo siguiente, que no es malévolo:

%Windir%\Debug\dcpromo.log

Nota: el %Windir% es una variable que refiere a la carpeta de la instalación de Windows. Por defecto, éste es C:\Windows o C:\Winnt.
7. Direcciones al azar del IP de las exploraciones para las computadoras vulnerables, y tentativas de explotar el desbordamiento alejado del almacenador intermediario de la seguridad de Microsoft Windows del servicio local de la autoridad (descrito en el boletín MS04-011 de la seguridad de Microsoft). usar el puerto 445 del TCP. Si el gusano explota con éxito esta vulnerabilidad en una computadora alejada, enviará el shellcode que crea y funciona una copia del gusano en la computadora alejada.
8. Conecta con un servidor del IRC en el dominio de owjgp.game2max.net para registrar el IP address de cada computadora con éxito explotada.

La respuesta de la seguridad de Symantec anima a todos los usuarios y administradores que adhieran a la seguridad básica siguiente las "mejores prácticas":
• Dé vuelta apagado y quite a los servicios innecesarios. Por defecto, muchos sistemas operativos instalan los servicios auxiliares que no son críticos, por ejemplo un ftp server, telnet, y un servidor del Web. Estos servicios son avenidas del ataque. Si se quitan, las amenazas mezcladas tienen menos avenidas del ataque y usted tiene pocos servicios a mantener a través de actualizaciones del remiendo.
• Si una amenaza mezclada explota unos o más servicios de red, inhabilite, o bloquee el acceso a, esos servicios hasta que se aplica un remiendo.
• Siempre mantenga sus niveles del remiendo actualizados, especialmente en las computadoras que reciben servicios públicos y son accesibles a través del cortafuego, tal como HTTP, ftp, correo, y servicios del DNS (por ejemplo, todas las computadoras windows-based deben tener el paquete actual del servicio instalado). Además, aplique por favor cualquier actualización de la seguridad que se mencione en este relato, en boletines confiados en de la seguridad, o en sitios del Web del vendedor.
• Haga cumplir una política de la contraseña. Las contraseñas complejas hacen difícil de agrietar archivos de la contraseña en las computadoras comprometidas. Esto ayuda a prevenir o a limitar daño cuando se compromete una computadora.
• Configure su servidor del email para bloquear o para quitar el email que contiene los accesorios del archivo que se utilizan comúnmente para separar virus, tales como archivos de los vbs, del bat, del exe, del pif y del scr.
• Aísle las computadoras infectadas rápidamente para evitar más lejos el compromiso de su organización. Realice un análisis forense y restaure las computadoras usando medios confiados en.
• Entrene a los empleados para no abrir los accesorios a menos que los estén contando con. También, no ejecute el software que se descarga del Internet a menos que se haya explorado para los virus. Simplemente visitar un sitio comprometido del Web puede causar la infección si ciertas vulnerabilidades del browser no se remiendan.

Las instrucciones siguientes pertenecen a todos los productos actuales y recientes del antivirus de Symantec, incluyendo las líneas de productos de Symantec AntiVirus y de Norton AntiVirus.
1. Inhabilite El Restore Del Sistema (Windows Me/XP).
2. Ponga al día las definiciones del virus.
3. Funcione una exploración completa del sistema y suprima todos los archivos detectados como W32.Wallz.
4. Suprima el valor que fue agregado al registro.
Para los detalles específicos en cada uno de estos pasos, lea las instrucciones siguientes.

1. Para inhabilitar el restore del sistema (Windows Me/XP)
Si usted está funcionando Windows yo o Windows.xp, recomendamos que usted da vuelta temporalmente apagado a restore del sistema. Windows Me/XP utiliza esta característica, que es permitida por el defecto, para restaurar los archivos en su computadora en caso de que se dañen. Si un virus, un gusano, o un Trojan infecta una computadora, el restore del sistema puede sostener el virus, el gusano, o el Trojan en la computadora.

Windows previene programas exteriores, incluyendo programas del antivirus, de restore de modificación del sistema. Por lo tanto, los programas del antivirus o las herramientas no pueden quitar amenazas en la carpeta del restore del sistema. Consecuentemente, el restore del sistema tiene el potencial de restaurar un archivo infectado en su computadora, incluso después usted haya limpiado los archivos infectados de el resto de localizaciones.

También, una exploración del virus puede detectar una amenaza en la carpeta del restore del sistema aunque usted ha quitado la amenaza.

Para las instrucciones en cómo dar vuelta apagado a restore del sistema, lea su documentación de Windows, o uno de los artículos siguientes:
• "cómo inhabilitar o permitir Windows yo restore del sistema"
• "cómo dar vuelta apagado o girar a restore del sistema de Windows.xp"

Nota: Cuando le acaban totalmente con el procedimiento de retiro y están satisfecho que la amenaza se ha quitado, vuelva a permitir el restore del sistema por después de las instrucciones en los documentos ya mencionados.

Para la información adicional, y un alternativa a inhabilitar Windows restore del sistema, ve el artículo de la base de conocimiento de Microsoft, las "herramientas de Antivirus no puede limpiar archivos infectados en _ la carpeta del restore," identificación del artículo: Q263455.

2. Para poner al día las definiciones del virus
La respuesta de la seguridad de Symantec prueba completamente todas las definiciones del virus para la garantía de calidad antes de que se fijen a nuestros servidores. Hay dos maneras de obtener las definiciones más recientes del virus:
• LiveUpdate de funcionamiento, que es la manera más fácil de obtener definiciones del virus: Estas definiciones del virus se fijan a los servidores de LiveUpdate una vez que cada semana (generalmente el miércoles), a menos que haya un brote importante del virus. Para determinarse si las definiciones para esta amenaza están disponibles por LiveUpdate, refiera a las definiciones del virus (LiveUpdate).
• Descargar las definiciones usando el Updater inteligente: Las definiciones inteligentes del virus de Updater se fijan diariamente. Usted debe descargar las definiciones del sitio del Web de la respuesta de la seguridad de Symantec e instalarlas manualmente. Para determinarse si las definiciones para esta amenaza están disponibles por el Updater inteligente, refiera a las definiciones del virus (Updater inteligente).

Las definiciones inteligentes del virus de Updater están disponibles: Leído "cómo poner al día la definición del virus archiva con el Updater inteligente" para las instrucciones detalladas.

3. Para explorar para y suprimir los archivos infectados
a. Comience su programa del antivirus de Symantec y cerciórese de que está configurado para explorar todos los archivos.
• Para los productos de consumo de Norton AntiVirus: Lea el documento, "cómo configurar Norton AntiVirus para explorar todos los archivos."
• Para los productos de la empresa de Symantec AntiVirus: Lea el documento, "cómo verificar que un producto corporativo del antivirus de Symantec está fijado para explorar todos los archivos."
b. Funcione una exploración completa del sistema.
c. Si algunos archivos se detectan según lo infectado con W32.Wallz, cancelación del tecleo.

Nota: Si su producto del antivirus de Symantec divulga que no puede suprimir un archivo infectado, Windows puede utilizar el archivo. Para fijar esto, funcione la exploración en modo seguro. Para las instrucciones, lea el documento, "cómo encender la computadora en modo seguro." Una vez que usted haya recomenzado en modo seguro, funcione la exploración otra vez.

Después de que se supriman los archivos, recomience la computadora en modo Normal y proceda con la sección 4.

4. Para suprimir el valor del registro
Importante: Symantec recomienda fuertemente que usted sostiene el registro antes de realizar cualesquiera cambios a él. Los cambios incorrectos al registro pueden dar lugar a pérdida permanente de los datos o a archivos corrompidos. Modifique los subkeys especificados solamente. Lea el documento, "cómo hacer una reserva del registro de Windows," para las instrucciones.
a. Chasque El Comienzo > Funcionado.
b. Mecanografíe el regedit

Entonces chasque MUY BIEN.
c. Navegue a y suprima los subkeys:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINPNP32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\winpnp32
d. Navegue al subkey:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
e. En el cristal derecho, suprima el valor:

"EnableDCOM" = "Y"
f. Navegue al subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa
g. En el cristal derecho, suprima el valor:

"restrictanonymous" = "dword:00000001"
h. Salga del redactor del registro.

post #5 (permalink)

18/03/05, 12:48:17

PatomaS

Colaborador

Registrado: ene 2005

Ubicación: Holanda

Mensajes: 6.110

Re: Pc lento y parece que esta infectado

Hola

EN el hijackths, puedes marcar esto para reparar:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe

Bueno, ya nos contarás como va la cosa.

Felicidad

Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog

* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !!
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

post #6 (permalink)

19/03/05, 12:27:44

Arwen_Galadriel Arwen_Galadriel está offline

Usuario

Registrado: mar 2005

Ubicación: Chile

Mensajes: 3

Re: Pc lento y parece que esta infectado

Buenas todos...

me parece que Outsider tiene la razon, lei el articulo que posteo y me dirigi al Registro y tengo todo lo que dice el articulo, ahora lo mas raro es que trate de hacer las cosas sobre eliminar los siguientes registros:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WINPNP32

Sobre lo que posteo patomaS, acabo de reparar lo que me dijiste

Ahora les posteo el nuevo log del HijackThis para ver si ahora al menos esta todo ok...

Logfile of HijackThis v1.99.1
Scan saved at 13:26:35, on 19-03-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\sistray.EXE
C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 8.exe
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\Winamp\winamp.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inacap.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 8.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1BA5612F-6703-4A5F-8C62-8E09530587CC}: NameServer = 200.72.1.5 200.72.1.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{1BA5612F-6703-4A5F-8C62-8E09530587CC}: NameServer = 200.72.1.5 200.72.1.11
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ahora vere como se comporta el pc y les contare, ojala que pronto se solucione mi problema... Muchas gracias por la ayuda

post #7 (permalink)

19/03/05, 13:42:07

Outsider

Usuario

Registrado: feb 2005

Ubicación: Alemania

Mensajes: 381

Re: Pc lento y parece que esta infectado

Cita:

Originalmente publicado por Arwen_Galadriel

Buenas todos...

Ahora les posteo el nuevo log del HijackThis para ver si ahora al menos esta todo ok...

Al final no se si pudiste seguir las instrucciones o no. De todos modos si te lo detectó el AV es posible que no esté todo lo que indican las mismas.

Por otra parte el "virus" en sí mismo no es un gran problema, sin embargo su funcion era informar en la red de que tienes ese agujero siempre puede pasar que alguien se te haya colado en el pc y que ese sea el autentico problema.

Ya nos dirás como te va.

post #8 (permalink)

19/03/05, 14:01:00

AngeduCiel AngeduCiel está offline

Colaborador

Registrado: ene 2005

Ubicación: México D.F.

Mensajes: 516

Re: Pc lento y parece que esta infectado

Holasss

Pues el virus si esta reflejado en su log o al menos estaba jeje era esta entrada:

O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe

Restaura estas entradas, aunque talvez al reiniciar aparescan de nuevo pero si no lo hacen realiza esto:

○» Ejecuta el HijackThis » Open the Misc tools Section » Delete a File on Reboot » ahora seleccióna este archivo:

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Saludos ok.

« Tema Anterior | Próximo Tema »

Herramientas
Mostrar Versión Imprimible Enviar por Correo

Reglas del foro
No puedes crear nuevos temas No puedes responder temas No puedes subir adjuntos No puedes editar tus mensajes BB code is activado Las caritas están activado Código [IMG] está activado Código HTML está desactivado Trackbacks are desactivado Pingbacks are desactivado Refbacks are desactivado

Ir a

Todas las horas son GMT -4. La hora es 12:58:31.

InfoSpyware es miembro de ASAP - Alliance of Security Analysis Professionals