Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola GPastor, tuve muchos problemas...

y cansado ya de lidiar con esta batata, estaba ante dos opciones:
prenderle fuego o reinstalar todo. Elegí la segunda y realicé una instalación limpia. Como no tenía ningún antivirus, entré a la Red y me bajé el Kaspersky; antes de finalizar la bajada apareció un aviso de que el sistema estaba flojo de seguridad y que bajara no sé que cosa. No le hice caso y a los dos minutos me apareció otro mensaje: (en inglés) NT encontró un problema; guarde todos sus trabajos. Cerrando 59, 58...

Hace mucho me había pasado y me estrujé el cerebro porque sí sabía como frenar la historia (ejecutar > shutdown -a) y así pude terminar la descarga. Kaspersky me informa de 81 virus, cosa que me resulta poco creíble en un entorno recién instalado; debe referirse a todos los ataques de Lovesan en esa sesión.

Pasé el Hijackthis y me tiró este log y lo que desde ya me parece sospechoso es el "O4 - HKLM\..\RunServices: [MS Config] msdconfig.exe" y "msconfig38"


Logfile of HijackThis v1.99.1
Scan saved at 17:14:37, on 10/02/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\WinPoET\WrOS.EXE
C:\archivos de programa\zyxel\accessrunner adsl usb\CnxDslTb.exe
C:\Archivos de programa\WinPoET\winpppoverethernet.exe
C:\ARCHIV~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest. ExE
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CnxDslTaskBar] "c:\archivos de programa\zyxel\accessrunner adsl usb\CnxDslTb.exe" "ZyXEL\AccessRunner ADSL USB"
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [MS Config] msdconfig.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\ARCHIV~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest. ExE
O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [MS Config] msdconfig.exe
O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{989E5E61-F91E-4007-B230-6480CA268FBC}: NameServer = 200.51.212.7 200.51.211.7
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET\WrOS.EXE

Como lo ves?

El log muestra infecciones, ¿de donde te bajaste el Kaspersky? ¿es una versión legal o ? si es lo segundo puede ser la causa de que te hayas infectado nuevamente y si sigues descargando software de ese tipo lo mas probable es que nunca dejes de infectarte.

Sigue estos pasos:

1.- Apaga el "Restaurar Sistema"

2.- Activa la opción Ver Archivos Ocultos

3.- Reinicia en Modo a Prueba de Fallos

4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O4 - HKLM\..\Run: [MS Config] msdconfig.exe

O4 - HKLM\..\Run: [msconfig38] mssvcc.exe

O4 - HKLM\..\RunServices: [MS Config] msdconfig.exe

O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe

5.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

msdconfig.exe

mssvcc.exe

6.- Pasa el Disk Cleaner para limpiar cookies y temporales

7.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

8.- Pasa el Ad-Aware SE actualizado.

9.- Reinicia la maquina y pega otro log de Hijackthis aqui mismo, luego nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos

Hola GPastor:

Respondí donde pude ya que aunque el MS Explorer tiene seteado mostrar imágenes, no sé por qué no puedo ver los vínculos de imagen; de hecho ahora estoy escribiendo y apareción en el tray un triángulo amarillo con un signo de admiración (que si lo pico -o le doy al botón derecho- desaparece).

Los problemas anteriores desaparecieron porque hice un formateo así que doy por terminado el tema y aprovecho para preguntarte si debo abrir un nuevo post para ver qué puede estar pasando ahora.

Gracias por todo.

Bien, damos el tema por finalizado entonces y reabriremos este otro.

Saludos