Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

el problema es el siguiente.

dias atras estaba intentando descargar un serial de un programa a utilizar y en la paguina donde entre emergieron multiples ventanas, a eso se sumo cientos de mensajes de mi antivirus con definiciones de virus, troyanos y otros. los cuales trataba de cerrar y seguian apareciendo, ademas a esto se sumo infinidades de ventanas de la proteccion del correo que trataban de enviarse. dentro de las definiciones de virus se encontraban las siguientes: horse, eman, abwiz, b gone, backdoor, blood hound. los cuales los elimine a mi pareser. investigue sobre el tema y di con su pagina la cual me sirvio bastante. luego corri el spybot y elimine varias cositas. tambien utilice el ad-aware. y el problema se soluciono en parte. en esos momentos use el administrador de tareas y me decia que estaba desabilitado por otro administrador. tambien este problema lo solucione cambiando un registro que que se indicaba en una foro de problemas.
actualmente mi antivirus me entrega el siguiente mensaje de alerta:

12/08/2005 15:29:48 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\WINDOWS\explorer.exe::LoadLibraryA bo:stack

12/08/2005 15:43:21 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\WINDOWS\explorer.exe::LoadLibraryA bo:stack

12/08/2005 15:49:21 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\WINDOWS\explorer.exe::LoadLibraryA bo:stack

12/08/2005 17:45:18 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\WINDOWS\explorer.exe::LoadLibraryA bo:stack

12/08/2005 18:14:13 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\WINDOWS\explorer.exe::LoadLibraryA bo:stack

13/08/2005 17:19:32 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\WINDOWS\explorer.exe::LoadLibraryA bo:stack

13/08/2005 17:43:25 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\WINDOWS\explorer.exe::LoadLibraryA bo:stack

13/08/2005 22:25:00 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\WINDOWS\explorer.exe::LoadLibraryA bo:stack

14/08/2005 11:54:02 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\WINDOWS\explorer.exe::LoadLibraryA bo:stack

14/08/2005 12:06:29 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE::LoadLibraryA bo:stack

14/08/2005 12:17:24 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE::LoadLibraryA bo:stack

14/08/2005 13:50:59 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE::LoadLibraryA bo:stack

14/08/2005 15:03:06 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE::LoadLibraryA bo:stack

14/08/2005 15:07:06 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE::LoadLibraryA bo:stack

14/08/2005 20:41:24 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\WINDOWS\explorer.exe::LoadLibraryA bo:stack

14/08/2005 20:50:18 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\WINDOWS\explorer.exe::LoadLibraryA bo:stack

14/08/2005 21:02:05 Bloqueado por la protección contra desbordamientos de búfer GRUPO_TRABAJO\Cesar y Patty C:\WINDOWS\explorer.exe::LoadLibraryA bo:stack


no se si es algun problema que me quedo por solucionar u otra cosa.
he actualizado el sp2 de windows xp. una ves instalado este no me deja activar el firewall.
ademas mirando el administrador de tareas hay procesos que se repiten tales como: lsass en sistem y lsass en cesar y paty y por lo que lei puede ser virus.
he notado que el pc esta un poco lento y me aparecen ventanas con propaganda de dell, emoticon algo como una web de amigos.
los prosesos que he hecho todos en modo apruba de fallos son:
spybot, ad-aware, escaneo del antivirus. trate de analizar con antivirus en linea y no he podido.
el log del hijackthis es el siguiente:


Logfile of HijackThis v1.99.1
Scan saved at 22:54:19, on 14-08-2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\Archivos de programa\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\Archivos de programa\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.ex e
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\l?ass.exe
C:\Archivos de programa\uhsa\abti.exe
c:\archivos de programa\achu\ueep.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {23462BDB-6EE4-F456-F629-A76151C4B842} - WTFCTF.dll (file missing)
O1 - Hosts: auto.search.msn.com 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {442540D3-FE37-D3CE-61BE-800DF688A2EA} - C:\WINDOWS\System32\ezbenooj.dll (file missing)
O2 - BHO: MPEG Support Dll - {57A70350-87D9-4EA2-B3AC-C1C1B5296035} - C:\WINDOWS\System32\mpegcore.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StatusClient] C:\Archivos de programa\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Archivos de programa\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [HPLJ Config] C:\Archivos de programa\Hewlett-Packard\hp LaserJet 1010 Series\SetConfig.exe -c Direct -p USB -pn "" -n 0 -l -sl 120000
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [sound64] defect08.exe
O4 - HKLM\..\Run: [slamm] MON76234.exe
O4 - HKLM\..\Run: [MindSoft Custody] C:\Archivos de programa\MindSoft Secure Pack XP 2\custody.exe
O4 - HKLM\..\Run: [MindSoft Firewall] C:\Archivos de programa\MindSoft Secure Pack XP 2\firewall.exe
O4 - HKLM\..\Run: [MindSoft sFolders] C:\Archivos de programa\MindSoft Secure Pack XP 2\sfolders.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [dmnck.exe] C:\WINDOWS\system32\dmnck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe
O4 - HKCU\..\Run: [Bjxnjnoe] C:\WINDOWS\System32\l?ass.exe
O4 - HKCU\..\Run: [WareOut] "C:\Archivos de programa\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [sysconf16] runload32.exe
O4 - HKCU\..\Run: [cnftips] SysEntry.exe
O4 - HKCU\..\Run: [10010] srbho.exe
O4 - HKCU\..\Run: [SPYWATCH] C:\Archivos de programa\BulletProofSoft.com\SpywareRemover\SpyWat ch.exe /STARTUP
O4 - HKCU\..\Run: [Cabt] C:\Archivos de programa\uhsa\abti.exe
O4 - HKCU\..\Run: [Rrme] C:\Archivos de programa\achu\ueep.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) - file://C:\Archivos de programa\AutoCAD 2002 Esp\SysVerChk.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0542C271-BDA8-4F33-82D3-DEBCF92C6811}: NameServer = 69.50.176.198,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{104D0A2F-71A4-4A8A-8396-9621A90EC012}: NameServer = 69.50.176.198,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{48879557-B921-4D61-90CA-9122AFD4345C}: NameServer = 69.50.176.198,85.255.112.12
O17 - HKLM\System\CS2\Services\Tcpip\..\{0542C271-BDA8-4F33-82D3-DEBCF92C6811}: NameServer = 69.50.176.198,85.255.112.12
O21 - SSODL: IE40 - {1BDA7668-DF50-B5AC-3C94-B294118EA713} - c:\archivos de programa\internet explorer\windidsc32.dll (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

de antemano muchas gracias.

Hola te doy la bienvenida al Foro de InfoSpyware, empeza siguiendo los pasos de el "Tutorial de Spywares" con las herramientas Ewido,*Microsoft Antispyware, Ad-Aware SE y SpyBot.

Pásale al menos dos de estos "Antivirus Online" y genera un nuevo log de HijackThis para pegarlo en este mismo mensaje y decirnos los resultados de los análisis de las herramientas.

Salu2