Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

A ver, el problema es que a veces tengo conexión, pero no puedo conectarme para navegar por internet.

He estado mirando los programas ejecutados y hay algunos bastante sospechosos. En una página me han dicho que son virus o troyanos y que los elimine.

Entonces he seguido los 14 pasos fundamentales para borrarlos correctamente, pero los progresos extraños siguen allí.

Son estos:

BackWeb-137903.exe
rundll.exe

Luego hay otros como svchost.exe que lo tengo repetido en la saciedad, tanto en diferentes usuaruios, como el uso de memoria que hacen.

Lo que me extraña es que ni el Panda 2005 actualizado, ni el ad-aware, ni el spybot, ni el Zone Alarm me han detectado nada. No sé si los tenía antes de instalarlo. Puede que sí.

¿Son troyanos?¿Cómo los borro definitivamente?. Antes he terminado el proceso del BackWeb y cuando he vuelvo a encender el ordenador, allí seguía.

Gracias de antemano.

Hola

Bueno, vayamos por partes:

BackWeb-137903.exe

En principio, este archivo lo instalan ciertas aplicaciones de empresas como Western Digital, Kodak, HP, etc, su función es mantener un determinado producto actualizado, sin embargo, algunas variantes de los backweb recogen información privada y la envian a internet, lo mejor es que te ocupes tú mism ode actualizar tus productos y que lo elimines.

Para esto, lo primero que has de hacer, es revisar si tienes la opción de quitarlos desde el menú de «agregar o quitar programas», si es así, será fácil, si no es a´si, puedes seguir estos pasos:

AbBre el regedit, desde inicio ejecutar y borra esta clave: HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run\ldm

Tras hacer eso, reinicia el equipo.

Ahora ejecuta en inicio > ejecutar el msconfig, cuando se abra, ve a la pestaña de «startup» o «inicio» y termina los siguientes procesos si están allí:

• backweb.exe
• backweb-137903.exe
• backweb-7288971.exe
• backweb-8876480.exe
• comp.exe
• iexpress.exe
• kodak software updater.exe
• ldmconf.exe
• sprite.exe

Ahora ve a Inicio > ejecutar > cmd, con l oque se te abrirá una ventanita de ms-dos y allí, usando el Regsvr32.exe, debes desregistrar estas librerías del sistema:

• backweb.dll
• bwmib.dll
• bwxtext.dll
• bwfiles.dll
• bwsec.dll
• clientrc.dll
• clntutil.dll
• cpuinf32.dll
• frcom.dll
• iadhide.dll
• iadhide4.dll
• iadhide3.dll
• inetclnt.dll
• ldmrchs.dll
• ldmrcht.dll
• ldmrdan.dll
• ldmrdeu.dll
• ldmresp.dll
• ldmrfin.dll
• ldmrfra.dll
• ldmrita.dll
• ldmrjpn.dll
• ldmrkor.dll
• ldmrnld.dll
• ldmrnor.dll
• ldmrptb.dll
• ldmrsve.dll
• syncext.dll

Finalmente, borra estos directorios (si los tienes):
archivos de programas+\backweb\
archivos de programas+\kodak\kodak software updater\

Tras todo este proceso, ya no deberías tenerlo allí.

La sintaxis del Regsvr32.exe es así: (son dos alternativas)
Regsvr32.exe -u backweb.dll
Regsvr32.exe /u backweb.dll

Suena un poco largo, pero es sencillo.

Si no tienes el msconfig, lo puedes descargar desde aquí.

rundll.exe

No nos dices que sistema tienes, así que te diré, si tienes windows 95, 98 o Millenium, el rundll.exe es un archivo normal de tu sistema, al menos si está en c:\windows\rundll.exe, si está en otra parte es un virus.

Si tienes windows NT, 2000, XP o 2003, es unvirus o algo extraño.

En principio cualquier antivirus moderno debería eliminarlo sin mayores problemas, puedes leer una referencia del posible virus aquí, así como la forma de eliminarlo y restaurar la funcionalidad que haya alterado.

Esta es otra opción de virus relacionad con el archivo y esta es otra. La última referencia es un poco más peligrosa que las anteriores, aunque ninguna representa un verdaedero peligro para el sistema.

svchost.exe

Este es un archivo del sistema, está relacionado con muchas cosas, entre ellas, las comunicaciones, tanto con internet, como con redes intrernas, como con procesos entre si, no es raro tenerlo más de una vez, pero indudablemente no es lo mejor. SI el archivo está reperido muchas veces y notamos que el equipo va lento, es buena idea reiniciar y empezar de nuevo lo que estamos haciendo.

Por cierto que navegadores que usan pestañas, como firefox, mozilla u opera, tienden a solicitar menos la ejecución de ese proceso que los que no las usan como el explorer.

Bueno, espero que te haya servido, de no ser así, nos avisas.

Felicidad

Bueno, el primer problema:

Acabo de ir al Editor de Registros y esto:

HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run\ldm

no lo he encontrado.

En la carpeta Run, sólo he encontrado esto:

Valor Prestablecido
audio close
ctfmon.exe
MessengerPlus3
msnmsgr

Hmmm

Hagamos una cosa, descarga el hijackthis, l oejecutas enl máquina con el problema teniendo todos los programas cerrados y luego lo pegas aquí mismo.

Esperamos tu repuesta

Felicidad

Aquí está lo que me pone:

Logfile of HijackThis v1.98.2
Scan saved at 15:26:55, on 01/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\apvxdwin.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Microsoft IntelliPoint\point32.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\hp center\137903\Program\BackWeb-137903.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\messenger\msmsgs.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\FlashGet\flashget.exe
C:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nifcvmktzixjryk.com/v5YkD..._hOnSSsRRw.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [audio close] C:\DOCUME~1\PROPIE~1\DATOSD~1\ACIDCI~1\infoidol.ex e
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp center.lnk = C:\Archivos de programa\hp center\137903\Program\BackWeb-137903.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Hola Jake

Tienes una version antigua del HijackThis v1.98.2. ponte esta y vuelves a pegar

el long

http://www.infospyware.com/Anti-Hijackers.htm

Un saludo

1ª PARTE:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\apvxdwin.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Microsoft IntelliPoint\point32.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\hp center\137903\Program\BackWeb-137903.exe
C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\messenger\msmsgs.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\FlashGet\flashget.exe
C:\unzipped\HijackThis\HijackThis.exe

2ª PARTE:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nifcvmktzixjryk.com/v5YkD..._hOnSSsRRw.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [audio close] C:\DOCUME~1\PROPIE~1\DATOSD~1\ACIDCI~1\infoidol.ex e
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp center.lnk = C:\Archivos de programa\hp center\137903\Program\BackWeb-137903.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

Bien primero edite tu log para ponerlo en dos partes ya que el foro no permite tantos caracteres por ser sumamente complicado para que lo podamo analizar.

Preciona Ctrl+Shift+Esc y en el task manager busca y corta este proceso si esta abierto: C:\Archivos de programa\hp center\137903\Program\BackWeb-137903.exe

1- Apaga el "Restaurar Sistema"

2- Prende la opción de "Ver archivos ocultos y del sistema"

3- Ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nifcvmktzixjryk.com/v5Yk...K_hOnSSsRRw.htm

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O4 - Global Startup: hp center.lnk = C:\Archivos de programa\hp center\137903\Program\BackWeb-137903.exe

4- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

5- Busca y elimina estos archivos manualmente

C:\Archivos de programa\hp center\137903\Program\BackWeb-137903.exe

6- Usa el Disk Cleaner para limpiar cookies y temporales

7- Pásale Ad-Aware SE actualizado

8- Reinicia y después nos contas los resultados.

Salu2

Bueno, ni rastro del BackWeb.

Muchas gracias.

De todos modos, puntualizar que en ningún momento el Panda 2005 actualizado me ha reconocido que tenga ningún virus.

Los digo también por el rundll.exe.

Tengo un XP, así que tiene que ser un virus, pero ni el Panda, ni el Ad-Aware, ni el Spybot me lo reconocen y eliminan.

¿Qué puedo hacer?.

Gracias.