Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Muy buenas. Como todos, tengo problemillas con el computadoro. En mi caso no es (creo) muy grave ya que la conexión a la red funciona y los procesos no van del todo lentos (a no ser que tenga más de 4 cosas abiertas que se bloquea).

En resumen, esta es la primera que entro al foro y que utilizo el hijack. A ver que tal. Te cuento.
1-Al arrancar sale lo de: invalid boot.ini file !!!!!!
2-No puedo actualizar el cortafuegos/antivirus principal (Norton, pirateao). 3-Dispuesto a destrozar el "lo que sea" empiezo a pasar antivirus online de todas las clases (más de 3) pero ninguno encuentra nada. El panda es el único que saca algo en el registro, pero no le doy mucha importancia (searchcentrix o algo asin). Ahora estoy pasando el ewido (no conocia) y parece que va bien.
4-Por si sirve de algo, misteriosamente se ha jodido la tarjeta de sonido y no puedo reinstalar los drivers. No se si tendrá algo que ver.
5-Tengo el inicio bien cargado, pero como no se que tocar y el ordenador no es muy viejo, he quitado lo justito. A través de greatis.com parece que uno de las procesos (locator.exe, feo nombre) tiene algo que ver con W32.Kedebe.D@m.m. No encuentro nada de este mammón.
En fin, espero no haberme excedido. Un saludo. Ahí va el post:

Logfile of HijackThis v1.99.1
Scan saved at 19:48:28, on 08/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\windows\Explorer.EXE
C:\Archivos de programa\Norton Personal Firewall\ISSVC.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\windows\system32\spoolsv.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Borland\InterBase\bin\ibguard.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
C:\windows\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Archivos de programa\Borland\InterBase\bin\ibserver.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 8.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\The Cleaner\tca.exe
C:\Archivos de programa\The Cleaner\tcm.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE(3).EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Documents and Settings\BIOFAC\Mis documentos\Luis\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\ARCHIV~1\ARCHIV~1\Real\Toolbar\RealBar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\ARCHIV~1\ARCHIV~1\Real\Toolbar\RealBar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb0 8.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Monitor.lnk = C:\Archivos de programa\QLink 1.0\devmonit.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.yeak.net
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Herramienta de carga de Yahoo! Fotos Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_3es.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D9C0126-3474-42E6-A656-C308F78FCAF5}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{36871F02-3BDA-42D9-8667-719698982575}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Archivos de programa\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Archivos de programa\Borland\InterBase\bin\ibserver.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Personal Firewall\ISSVC.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe



Conclusión: Con la de cosas buenas que tiene la internete, los malditos hijos de puuuuta creadores de malware, spyware, viruses y todo lo chungo, se merecen lo peor. Hacen perder un tiempo precioso al resto de usuarios con sus mierdas. De verdad, quitan las ganas de conectarse.

En el log no hay nada que indique una infección, a excepción de de los siguientes sitios de confianza (trusted):

O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.sgrunt.biz
O15 - Trusted Zone: www.yeak.net

Se corresponden con un dialer: Symantec Security Response: Dialer.Yaknet

Al no tener la página de inicio cambiada, supongo que sólo te queda por borrar esas dos entradas.

Otra cosa rara es el nombre del archivo del Internet Explorer:
C:\Archivos de programa\Internet Explorer\IEXPLORE(3).EXE

En el directorio C:\Archivos de programa\Internet Explorer\ ¿tienes el IEXPLORE.EXE y el IEXPLORE(3).EXE?

El IEXPLORE(3).EXE no debería estar (unicamente el IEXPLORE.EXE), bueno, no debería estar en ningún sitio. Analizalo con un antivirus o subelo a http://www.virustotal.com. No creo que tengas problemas si lo elimnas.

Aparte de unas barras del Real Player y del MSN Messenger, nada destacable.



Respecto a lo de "Invalid boot.ini", visita: Aparecen los mensajes de error "Archivo Boot.ini no válido" o "No se puede iniciar Windows" al iniciar el equipo.

Sobre el Noton, en las políticas del foro, en el apartdo 8, se habla especificamente del software pirata. No se ofrece ayuda. Si no quieres pagar un producto, usa uno gratuito: Avast!.

Las entradas que hagan referencia al "searchcentrix" deben ser eliminadas.

Si la tarjeta de sonido se "jode" no escucharás ningún sonido, ¿es esto lo que ocurre?. Deberías inicar qué problema o error hay al instalar los drivers.

El archivo locator.exe en prinipio es un archivo legítimo de Windows, concretamente del RPC Locator. Deberías indicar su localización en el disco duro y analizarlo en http://www.virustotal.com. Aunque en principio no creo que debas preocuparte. Te recomiendo que uses el DCOMBobulator para deshabilitar DCOM.

Limpia el registro con RegSeeker y Crap Cleaner.
Limpia el disco duro con Disk Cleaner.

Muy buenas de nuevo:

Eliminé las entradas del registro que me indicastes.

Además he comprobao una cosa rara. El nombre del explorer -iexplore(3).exe- no era el correcto; resulta que el original (creo, porque se llama iexplore.com a secas) estaba oculto en la misma carpeta. El problema es que no puedo quitarlo de ese estado. No me da la opción de hacerlo visible, sic.
Una vez eliminado, el ordenaeitor va más rapido. Muy bien visto. ¿es posible que algo lo haya ocultado?no se...

Gracias por los enlaces recomendados, sobre todo el de virustotal, me han venido muy bien.

los archivos locator que te comentaba estan limpios, en las carpetas System32 y ServicePackFiles/i386.

La tarjeta sigo sin poder instalar los drivers (lo de siemnpre ..."este dispositivo funciona correctamente"...bla, bla...y no deja actualizar. Ya intentaré instalarlo.
Por cierto, y hablando de la tarjeta, en la zona de inicio de panel de control tengo una aplicación que no me gusta un pelo. Probablemente no sea nada, pero no me suena haberla visto antes. ¿sabes como acceder a esta zona del windows (panel de control) para mandarlo a virus total?

Gracias por todo, compi.

IEXPLORE.COM tampoco debería estar ahí. Nunca he visto un archivo con ese nombre ahí.

Como posible es, el sistema operativo puede ser modificado para que no muestre archivos o directorios, procesos, conexiones, etc... aunque en este caso lo dudo, no está entre las características del dialer.

Los iconos que ves en el panel de control, son archivos *.cpl que se encuentran en %WinDir%\System32. Los archivos .cpl de ese directorio son cargados automáticamente y se muestran en el Panel de control. Para eliminar uno, basta con eliminar el archivo.

La descripción de Panel de control se archiva en Windows XP.

Hola de nuevo:

De lo que me respondistes sobre el panel de control (gracias por el enlace) explorer tengo unas preguntillas.

Resulta que el archivo del panel de control se llama CMI AUDIO CONFIG (icono XEAR 3D) y pensaba que era una aplicación para configurar el audio. Al clicar se abre una ventana MSDOS (destello negro) que me hizo sospechar. Además, una vez localizado el .cpl, no se encuentra con el resto en System32, sino apartado en Windows/system, junto a otro archivo de nombre parecido (cmids3d.dll). Virustotal dice que están limpios.

Con respecto al iexplorer.exe, creia que la "i" era normal (de internet explorer). El caso es que lo tengo en estado oculto y no lo puedo sacar de ahí. Además, tampoco puedo desinstalarlo (no se si será por que está oculto). tampoco aparece en inicio/programas. Misterio o normalidad?? De todas formas utilizo más el de mozilla.

Bueno, un saludo, y gracias por dedicarme tu tiempo.

No te preocupes por el Xear 3D.

El ejecutable del Internet Explorer se llama iexplore.exe (si que tiene "i").

Si quieres que deje de ser oculto, tendrás que cambiarle los atributos a mano, haciendo clic con el botón secundario sobre el archivo y desmarcando la casilla "Oculto".

Damos el tema por solucionado.