Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Buenas a todos y gracias de antemano por vuestra ayuda.

Escribo ahora desde la oficina (donde tendré que enviarme el log de hijackthis) porque desde mi casa hago el log en esta página, me da la bienvenida y cuando intento escribir el post o descargarme algún programa me dice que no estoy autorizado a ver la página y que me conecte (de nuevo!).

Estoy mosca desde hace 1 mes, cuando al descargar las actualizaciones del Spybot me daba "error en la suma de verificación". Desde entonces las estoy descargando manualmente.

Viendo vuestro foro (y descargandome los programas que recomendais por otras páginas, porque aquí no me deja por lo del log) he pasado todo lo recomendado en esta página al ordenador. Por cierto he descubierto el system safe monitor y el spy sweeper (estupendos programas), pero sigo sin poder acceder al regedit (me dice que no encuentra el archivo ni la ruta) ni buscarlo (en Buscar me dice que no dispongo de las herramientas necesarias para realizar la busqueda). El caso es que el Regseeker si limpia (supuestamente) el registro, pero yo no puedo acceder a él. Cuando le hice una pasada a fondo del Avast me dijo que tengo algo en CodePack Elisoft (como no!!, me puse la versión 13.5 porque la 14.0 debia estar infectada y me obligó a formatear hace unos meses). Después de alguna limpieza conseguí conectarme a la página de Kaspersky (limpio), Ewido (limpio).

No entiendo nada. Tengo el Spybot (residente), SpywareBlaster, Avast, Kerio, TroyanExplore, alguno más que ahora no recuerdo, todo absolutamente actualizadito y todo el cuidado del mundo, y estos huevones entran!!. No lo entiendo!!. Tengo que haberle dado permiso yo, pero como discernir cuando es de verdad de Windows o cuando te la están colando.

Bueno he posteado esto por si alguien me puede ir dando alguna directriz de lo que tengo que ir haciendo por lo menos para poder postear aquí, e intentaré enviarme aquí el log de hijackthis.

Gracias por todo

Bienvenido al foro!

Si aún estás teniendo problemas con tu login lo puedes comentar acá para que reactiven tu cuenta

Sobre tu problema, que fue lo último que instalaste/modificaste en el sistema antes de estos compartamientos raros en el sistema?


Que sistema operativo tienes?

EL regedit.exe debería estar en el %windir%, ve a Inicio > Ejecutar > escribes %windir% y le das a la tecla Enter/Intro, cuando entres en la carpeta de windows (winnt para los windows NT) busca un archivo llamado regedit o regedit.exe y dale doble click y verifica si se abre el regedit


También sería bueno que ejecutaras desde símbolo de sistema (ms-dos) el comando chkdsk /f o scandisk dependiendo de el windows que utilices

Revisa también los procesos que se están ejecutando en el sistema y verifica si tienes algún archivo que no conozcas allí ejecutándose, si es así, dinos el nombre



Salu2

Gracias Acron0248
Ahí va. El problema de postear aquí no es problema del foro porque he podido escribir desde la oficina sin problemas, sino de mi ordenata. Debían ser las cookies o alguna prohibición del firewall que yo no controle. He cambiado la configuración a actualizar cada vez que sea visitada la página y parece que estoy escribiendo.

Bien. Lo único raro que he cambiado últimamente es la deshabilitación de la NetBios que recomendaban en el manual de Kerio de Naut-ya sabes (no se si se puede poner).

Exactamente al ejecutar "regedit" me dice:
Windows no puede encontrar el archivo 'REGEDIT'. Asegúrese de que
la ruta y el nombre de archivo están escritos correctamente y
vuelva a intentarlo. Para buscar un archivo, haga clic en el botón
Inicio y luego en Buscar.

Si le doy a buscar me dice:
Error
No se puede encontrar el archivo necesario para ejecutar el
Asistente para búsqueda.
y me aparece el buscado en blanco.

He aprovechado para defragmentar hoy que lo he dejado desconectado y me he encontrado con dos sorpresas. El log de defragmentación del VoptXp dice:
--- Fixed files (6) ---
07/12/05 4KB C:\Documents and Settings\ADMINI~1
03/18/05 4KB C:\Documents and Settings\Administrador\Menú Inicio\PROGRA~1
03/31/05 512KB C:\Documents and Settings\Administrador\NTUSER.DAT
04/12/05 4KB C:\Documents and Settings\Administrador\ntuser.dat.LOG
06/12/05 720MB C:\pagefile.sys
11/23/05 4KB C:\WINDOWS\SoftwareDistribution\DataStore\Logs\Dow nload

Hay un supuesto archivo en C:\ de 720 mb que no me ha defragmentado y que no lo veo al acceder a la carpeta.

Por otro lado el system safety monitor me ha contado lo que ha estado haciendo mi ordenador solito mientra yo no estaba aquí:
(23:18:14) C:\WINDOWS\system32\wuauclt.exe has finished its job.
(22:43:26) C:\WINDOWS\system32\wuauclt.exe has finished its job.
(17:42:51) C:\WINDOWS\system32\wuauclt.exe has finished its job.
(14:56:20) C:\WINDOWS\system32\wbem\wmiprvse.exe has finished its job.
(14:56:04) C:\WINDOWS\PCHealth\HelpCtr\Binaries\helpsvc.exe has finished its job.
(12:42:32) C:\WINDOWS\system32\wuauclt.exe has finished its job.
(11:45:48) C:\Archivos de programa\VoptXP v7\Utility.exe has finished its job.
(7:42:14) C:\WINDOWS\system32\wuauclt.exe has finished its job.

Wuauclt entiendo que es la actualización de Windows que intenta conectarse para buscar actualizaciones. Pero el programa wmiprvse.exe ¿que puñetas es?
El PCHealth me suena pero ya no sé si a algo normal de Windows o a infección. Estoy un poco saturada ya.

El log del Hijackthis es este:

Logfile of HijackThis v1.99.1
Scan saved at 0:31:45, on 08/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\ARCHIV~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\Documents and Settings\bicho\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.avast.com/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - %7b53707962-6F74-2D53-2644-206D7942484F%7d - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE PopUp-Killer - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\ARCHIV~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\ARCHIV~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - Global Startup: Troyan Explore Antivirus.LNK = C:\EXTROYAN\EXTROYAN.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.femafusa-getafe.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

Por lo poco que voy controlado desde que os leo, yo no veo nada extraño que yo no tenga, salvo que aparecen ultimamente muchas entradas del messenger (que no uso ni por recomendación del médico), y esas dos main, local page que han aparecido ayer y hoy. En otro log anterior aparecía
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos, que ahora ha desaparecido.

El log del kaspersky encontró algo, pero es un archivo que me descargué de Internet que debe tener algún comando que si lo renombras en un archivo de texto como .com comprueba si tienes un antivirus bueno. O sea, creo que es normal
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, December 05, 2005 01:47:24
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 4/12/2005
Kaspersky Anti-Virus database records: 153440
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 35026
Number of viruses found: 1
Number of infected objects: 1
Number of suspicious objects: 0
Duration of the scan process: 14379 sec

Infected Object Name - Virus Name
D:\E V A\Programas Eva\UTILIDADES\ComprobadorAntiVirus.txt Infected: EICAR-Test-File

Scan process completed.

Y el spysweeper creo que no dice nada pero te lo pongo por si acaso:
********
1:26: | Start of Session, martes, 06 de diciembre de 2005 |
1:26: Spy Sweeper started
1:26: Sweep initiated using definitions version 577
1:26: Starting Memory Sweep
1:29: Memory Sweep Complete, Elapsed Time: 00:03:06
1:29: Starting Registry Sweep
1:30: Registry Sweep Complete, Elapsed Time:00:00:14
1:30: Starting Cookie Sweep
1:30: Cookie Sweep Complete, Elapsed Time: 00:00:00
1:30: Starting File Sweep
1:52: File Sweep Complete, Elapsed Time: 00:22:31
1:52: Full Sweep has completed. Elapsed time 00:25:55
1:52: Traces Found: 0
2:06: IE Security Shield: found: C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE -- IE Security modification denied
********
7:53: | Start of Session, lunes, 05 de diciembre de 2005 |
7:53: Spy Sweeper started
7:53: Sweep initiated using definitions version 577
7:53: Starting Memory Sweep
7:56: Memory Sweep Complete, Elapsed Time: 00:02:59
7:56: Starting Registry Sweep
7:57: Registry Sweep Complete, Elapsed Time:00:00:11
7:57: Starting Cookie Sweep
7:57: Cookie Sweep Complete, Elapsed Time: 00:00:00
7:57: Starting File Sweep
8:18: File Sweep Complete, Elapsed Time: 00:21:06
8:18: Full Sweep has completed. Elapsed time 00:24:26
8:18: Traces Found: 0
1:26: | End of Session, martes, 06 de diciembre de 2005 |
********
7:50: | Start of Session, lunes, 05 de diciembre de 2005 |
7:50: Spy Sweeper started
7:52: Your spyware definitions have been updated.
7:53: Updating spyware definitions
7:53: Your definitions are up to date.
7:53: | End of Session, lunes, 05 de diciembre de 2005 |

El regedit.exe no está. Sólo me he encontrado un regedit.reg que creo recordar que es una copia del registro que hice el 23/11. No tiene programa asociado (que si no estoy mal informada del todo debería ser el regedit.exe con lo que se abre). Mi Windows es el Xp. El chkdsk /f dice que lo hará en cuanto reinicie porque está ahora ocupado (es normal).

En fin. Espero que esto os dé alguna pista y podais echarme una mano.

La conexión no va mal (tengo emule, en paro ahora mismo, claro) y el sistema no me da problemas, pero sé que hay algo raro o estoy paranoica, jeje.

Gracias por vuestra ayuda

Vale, estoy en la pantalla de meter este post y cuando le doy a enviar mensaje me dice que inicie la sesión.
Una mano negra no quiere que me conecte con esta página. Que bien, es posible que no este paranoica

Siento el mogollón, pero al final lo he conseguido meter

Pues, te cuento:

EL archivo Pagefile.sys es el archivo de paginado del sistema, es un archivo legítimo y no lo ves porque no tienes el sistema configurado para eso

EL wmiprvse.exe (Windwos Management Instrumentation Provider Host program) también es legítimo

El helpsvc.exe también es legítimo y está relacionado a la ayuda del sistema operativo


El log también está limpio

Al igual que los demás reportes, creo que el problema es que tu perfil por alguna razón se ha dañado o alguna clave en el registro de windows fue alterada lo que creó la falla


En tu caso, te recomiendo lo siguiente, crea una nueva cuenta desde el Panel de Control > Cuentas de Usuario, cuando la hayas creado, aceptas, te vas a Inicio y cierras sesion

Luego de esto, te saldrá la pantalla de bienvenida, en este momento, entrarás por la nueva cuenta y desde allí verifica si se presentan los mismo problemas, otra opción que tienes es, ya que el sistema no presenta infección alguna, restaurar a un punto anterior antes de la falla, prueba esas cosas y nos cuentas



PD: Como el sistema está limpio de virus muevo tu post a Ayuda General



Salu2

Creo que no puedo volver a un punto anterior puesto que deshabilité Restaurar sistema.

Entro como Administrador.

Gracias Acron0248

He pasado el Spybot después de actualizar manualmente porque de la carpeta Spybot en inicio me ha desaparecido todos los accesos al programa. Menos mal que tengo el TeaTimer y el programa sigue en su sitio.
Va super-rapido (00.45 en analizar) y me sale este aviso con una señal triangular con un ! dentro:

¡Error durante el análisis!: ZycnosSpace (Ungültiger Datentyp für '') ()


¡Felicidades!: No se ha encontrado ningún robot espía. ()

Le hice otra pasada con el SpySweeper y me dijo que ha eliminado un root-kit en el escritorio (MEA CULPA, MEA CULPA, MEA CULPA, sé quien me lo envió) que no conseguía eliminar ni con el Killbox.
Pero me sigue saliendo el mismo mensaje en el Spybot.

Sigue desaparecido el regedit y las busquedas y no puedo entrar en el ordenador como Administrador, porque dice que no me sé la contraseña (Y UN CUERNO).

Se os ocurre algo?. Tengo muy poca idea de lo que es un root-kit (voy a investigar) pero lo poco que sé es que no es nada bueno.

Gracias de antemano por vuestra ayuda y un saludo

El archivo que comentas es un Adware, el cual debe estar asociado con el otro que encontró el SPy Sweeper

Intenta reparar el sistema operativo lee el método 2




Salu2

Al final se me agotó la paciencia y las ganas (y tampoco ví este mensaje) y he formateado por completo. Todavía estoy recuperando todo lo formateado.

Pero muchas gracias por tu ayuda.