Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Buenas, hace unas semanas que el Firewall de Windows XP no me deja activarse, especificamente desde que me puse a jugar con unos troyanos que tenian la orden de desactivar ciertos avs y firewalls al ejecutarse, lo raro es que ya me desinfecte de ellos pero sigo sin poder activar, en este caso, el firewall de windows XP ni abrir el Zone Alarm, Outpost Firewall, Sygate... Y claro, ahora mismo estoy casi en bolas, a ver si pueden mirar el Log del HiJackThis y decirme que hay mal en el, porque hay algo seguro, y si no tiene que ver con el hijack a ver que puede ser el porque a pesar de haberme desinfectado no puedo abrir esos Firewalls...

PD: En el caso del Firewall de WinXP lo abro desde el Panel de Control y me sale desactivado, y no puedo marcar la otra opcion. Ya he hecho lo de ir a Herramientas Administrativas -> Servicios, y activarlo desde hay, pero está todo en orden

Logfile of HijackThis v1.99.1
Scan saved at 17:19:51, on 22/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\program files\Common Files\system\proxycfg.exe
C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\mpcsvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe
C:\ARCHIV~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\mIRC\mirc.exe
C:\mIRC\mirc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.375\Hi jackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [Proxy Config Tool for Windows] C:\program files\Common Files\system\proxycfg.exe
O4 - HKLM\..\Run: [Interfaz de usuario de inicio d sesión de Windows] C:\program files\Common Files\system\logonui.exe
O4 - HKLM\..\Run: [Controlador de sucesos de red] C:\program files\Common Files\system\netevent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DriveSystem32] C:\WINDOWS\system32\drivesysdl.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [svchost.dll] c:\windows\system32\svchost.dll
O4 - HKLM\..\Run: [SiS Mpc Service] C:\WINDOWS\system32\mpcsvc.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [XiaoXiao04] C:\windows\system32\xiaoxiao04.exe
O4 - HKLM\..\RunServices: [Microsoft Update] winsyst.exe
O4 - HKLM\..\RunServices: [svchost.dll] c:\windows\system32\svchost.dll
O4 - HKLM\..\RunServices: [XiaoXiao04] C:\windows\system32\xiaoxiao04.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [DriveSystem32] C:\WINDOWS\system32\drivesysdl.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HotKey.lnk = C:\Archivos de programa\TEXTware\HotKey\Twalink.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Sothink SWF Decompiler - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Movies Extractor Scout - {CC15C1C3-B1AF-46FB-A3A0-ED25C1F6CF06} - C:\Archivos de programa\Movies Extractor Scout\flashextract.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: SWFDecompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Decompiler - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\SourceTec\Sothink SWF Decompiler\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133040936500
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133040919015
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://nprotect1.gravity.co.kr/nprotect/npx.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://nprotect1.gravity.co.kr/nprotect/nPKeyCrypt/npkcx.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8CE8168-713B-4ED5-952D-65D5D82C00D8}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: msgplusloader.dll
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: HOEBWQPXKZPSAC - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\HOEBWQPXKZPSAC. exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\System32\npkcsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StyleXPService - Unknown owner - C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

Gracias por adelantado.

Hola Knightmare, te doy la bienvenida al Foro de InfoSpyware.

Quien te dijo que tu PC esta desinfectado

Es importante que no ejecutes HijackThis desde los temporales, creale su propia carpeta o descargalo con el instalador desde el foro.

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga el programa DelPSGuard.zip, y ejecútalo con todos los programas cerrados, pero cuando termine no reinicies.

Paso 3-Con todos los programas cerrados ejecuta HijackThis y dale "FIX Cheked" a estas entradas, si todavía están.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O4 - HKLM\..\Run: [DriveSystem32] C:\WINDOWS\system32\drivesysdl.exe
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [svchost.dll] c:\windows\system32\svchost.dll
O4 - HKLM\..\Run: [SiS Mpc Service] C:\WINDOWS\system32\mpcsvc.exe

O4 - HKLM\..\Run: [XiaoXiao04] C:\windows\system32\xiaoxiao04.exe
O4 - HKLM\..\RunServices: [Microsoft Update] winsyst.exe
O4 - HKLM\..\RunServices: [svchost.dll] c:\windows\system32\svchost.dll
O4 - HKLM\..\RunServices: [XiaoXiao04] C:\windows\system32\xiaoxiao04.exe

O4 - HKCU\..\Run: [DriveSystem32] C:\WINDOWS\system32\drivesysdl.exe

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab



Paso 4- Sin reiniciar con el programa "KillBox" elimina estos archivos: (puede que alguno no este)

c:\secure32.html
C:\WINDOWS\system32\drivesysdl.exe
C:\windows\timessquare.exe
C:\WINDOWS\system32\mpcsvc.exe
c:\windows\system32\svchost.dll
C:\windows\system32\xiaoxiao04.exe
C:\WINDOWS\system32\drivesysdl.exe

Paso 5- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 6- Con todos los programas cerrados ejecuta nuevamente la herramienta DelPSGuard

Paso 7- Usar el Disk Cleaner para limpiar cookies y temporales.

Paso 8- Realiza un escaneo online con "Ewido Security Online."

Reinicia y nos contas los resultados.

Salu2

Aha, es increible la eficacia de estos foros :p Muchas gracias por tu ayuda ya funciona todo perfectamente, solo una cosa a puntuar, al limpiarme tal como explicaste, instale el Zone Alarm, pero me iba el PC muy lento, segun mis teorias es que el Firewall de Windows XP aunque estuviera "desactivado" (y sigo sin poder activarlo) en Herramientas Administrativas -> servicios, si que decia que estaba activado asi que lo deshabilite y ya me va el Pc bien.

Muchas gracias =)