Buenos dias, trabajo en una empresa y una máquina se ha contaminado con lo que parece ser un troyano.
El troyano parece ser muy bueno porque:
Despues de introducir la contraseña de red el pc tarda muchísimo en acabar de cargarse. Parece como si se

cargara algo.
La restauración del sistema no funciona, se carga el rstrui.exe pero dice así: no es posible restaurar el

sistema, reinicie el sistema y vuelva a iniciar el programa.
Si reinicio en modo seguro el comportamiento es el mismo, despues de introducir la contrasnya de usuario tarda

mucho en cargarse y igualmente no funciona la restauración del sistema.
Está instalado el McAfee, el SpyBot S&D y el ad-ware pero ninguno encuentra nada. He probado ha instalar el

SpySweeper y no me deja, también el Windows defender pero me dice que el windows instaler no funciona.
Cosas curiosas: no es posible arrastrar los iconos del escritorio, es posible cortar pero no se puede pegar

archivos (no puedo hacer una copia de mis documentos :'( , la función buscar no funciona, ha desaparecido la

conexión de red local de la lista de conexiones però se continua teniendo acceso a la red y a internet.
He hecho aparecer la consola ejecutando la instrucción cmd y poniendo c:\ipconfig /all ,aparece la conexión

local con unos DNS añadidos que estan como codificados y otra conexión también con DNS codificados que antes no

estaban, o sea que algo hay...

Desde un diskete he hecho un hijackthis, a ver si alguien ve algo, los programas WinVNC y el DameWare

(DWRCS.exe) son programas puestos por el administrador de la red para su mantenimiento, quiero decir que ya

estaban antes de que el pc se estroperara, tambien he quitado de las entradas del domain a mi empresa.



Logfile of HijackThis v1.99.1
Scan saved at 03:35:54, on 07/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system32\igfxsrvc.exe
C:\windows\system32\igfxext.exe
A:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

C:\windows\PCHealth\HelpCtr\System\panels\blank.ht m
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat

5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_08

\bin\ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de

programa\google\googletoolbar3.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos

comunes\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe"

/StartedFromRunKey
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640

\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Run VNC Server (2).lnk = C:\Archivos de programa\RealVNC\WinVNC\winvnc.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de

programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de

programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = miempresa.es
O17 - HKLM\Software\..\Telephony: DomainName = miempresa.es
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = miempresa.es
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = miempresa.es
O20 - Winlogon Notify: igfxcui - igfxdev.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\System32

\basfipm.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: Iap - Dell Inc - C:\Archivos de programa\Dell\OpenManage\Client\Iap.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de

programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de

programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de

programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Archivos de programa\lotus\notes\ntmulti.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32


Se ve algo?
Gracias por adelantado

Hola xor028,

Tu log de HijackThis esta limpio y si ya pasaste algún Antispyware y "Antivirus Online" y no encontraron nada, tu problema no es por un malware.

Descarga CCleaner v1.34 y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Una vez que este termine de limpiar todo hace una Desfragmentacion del disco con la opción de Windows.


Si al reiniciar sigue igual las otras opciones que podes seguir son:

• Usar la opción de "Restaurar el Sistema" a un día antes de empezados los problemas.
• Iniciar el PC con el CD de Win y usar la opción de "Reparar Errores"
• Reinstalar Windows arriba del que estas usando.
• Directamente Formatear.
  

Salu2

Gracias por la respuesta, he limpiado el pc com el ccleaner y realizado un chkdsk pero el desfragmentador de windows no funciona. He podido Iniciar el PC con el CD de Windows y usar la opción de "Reparar Errores", la instalación se cuelga a la mitad . Con todo esto me parece que efectivamente no es una problema de software sino de hardware, el disco duro o el procesador o quizá la memoria no funcionan y de aquí todos los fallos en los servicios y las configuracions estrañas. Será que pc nuevo
Gracias por la ayuda

Hola, siempre podes usar un Formateo para terminar de descartar problemas en el Software y si la cosa sigue igual ya ahí si empezar a mira el hard.

Bueno en todo caso damos este tema por terminado ya que con HJT no podemos hacer mas nada y si necesitas mas ayuda no dudes en abrir otro tema en el sector del foro que creas mas conveniente.

Salu2