SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware
Temas de Escritorio Bloqueado - Windows XP
Lombardo:
Buenas a todos...
...aunque especialmente a Danae que, aunque no conozco de nada, parece ser toda una eminencia en el tema.
Voy al grano.
La cuestión es sencilla y aunque es un tema que ya ha sido tratado, por lo que he podido ver moviéndome por los foros, ando algo perdido ya que no puedo seguir todos los pasos, ya que yo mismo intenté arreglar el problema, sin demasiado éxito. Uno que es así de listo.
Hará cosa de unas semanas, se me instaló algún tipo de troyano que hizo dos cosas: cambiarme la página de inicio, por una pantalla de color azul con un aviso (en letras blancas) advirtiéndome que he sido infectado y que debo comprar X antivirus; y por otro lado, me ha bloqueado los Temas de Escritorio. El tema que aparece siempre es y por defecto es "Tema modificado" Si cambio el tema, este vuelve a ser el "Tema modificado" cuando vuelvo a abrir las propiedades del escritorio. Por supuesto, los campos de la pestaña "Escritorio" están bloqueados y no puedo seleccionar nada.
Así a grosso modo, no parece nada grave, pero es que últimamente comienzo a notar lentitud a la hora de navegar; no hablo de velocidad, sino de abrir el explorador. También resulta lento la carga del sistema operativo cuando abro el ordenador, cuando reproduzco archivos o abro carpetas, etc. Lentitud en general. Os adjunto un informe HijackThis.
Muchísimas gracias por adelantado y si necesitais cualquier tipo de información que os ayude, estaré encantado de darosla.
Gracias de nuevo,
Lombardo.-
Logfile of HijackThis v1.99.1
Scan saved at 20:59:05, on 20/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\Drivers\WTSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\eMule\emule.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Usuario\Escritorio\hijackthis\HijackThis.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\Drivers\WTSRV.EXE
______________________________________________________________________________________________________________________________________
Liamngls:
Hola y bienvenido , hablando de Danae ... te pego un trozo de las indicaciones para el uso del HijackThis que figuran en el tutorial que ella misma ha hecho.
Es importante, cerrar todas las aplicaciones posibles antes de realizar el escaneo con el HijackThis, es decir, dejar sólo los servicios básicos del sistema y lo correspondiente a la tarjeta gráfica, el resto, antivirus, fireware y demás todo cerrado, mejor dicho, ni iniciado, Por lo tanto, lo mejor es iniciar el PC en modo seguro o modo a prueba de fallos.
Naturalmente, lo más aconsejable es no conectarse a Internet, sobre todo teniendo en cuenta que hemos desactivado el antivirus y el cortafuegos
http://www.daboweb.com/foros/index.php?topic=13633.0
Veo en el log procesos corriendo como el emule , el messenger y el Internet Explorer .... quizás deberías arrancar en modo a prueba de fallos y sacar un nuevo log ;-)
Lombardo:
Buenas de nuevo y gracias por la premura,
A ver, he intentado iniciar el ordenador en modo a prueba de fallos/modo seguro y no consigo que tire hacia adelante; simplemente se queda con la pantalla en negro y no se mueve de ahí. Así que lo he reiniciado con normalidad, y he seguido tus intrucciones. Este es el nuevo informe de HijackThis.
Logfile of HijackThis v1.99.1
Scan saved at 22:12:16, on 20/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\Drivers\WTSRV.EXE
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Usuario\Escritorio\hijackthis\HijackThis.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\System32\Drivers\WTSRV.EXE
Gracias de nuevo,
Lombardo.-
Mr_X:
Regálanos un Log del Autoruns de Sysinternals: doble clic al archivo AUTORUNS.EXE, ve al menú "Options" y marca las tres primeras opciones y oprime la tecla F5, ve al menú "File", "Save as", dale un nombre y guárdalo, ahora abre el archivo en el Bloc de notas, copia el contenido y pégalo aquí...
Lombardo:
Hecho!
Aquí tenéis los resultados. A ver qué sacamos en claro porque ¡esto no es vida! :panic:
_____________________________________________________________________________________________
HKCU\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
C:\Documents and Settings\Usuario\Menú Inicio\Programas\Inicio
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ ares Ares (Not verified) Ares Development Group c:\archivos de programa\ares\ares.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
+ ewido shell guard c:\archivos de programa\ewido anti-malware\shellhook.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ avast avast! Shell Extension (Not verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashshell.dll
+ Extensión de paneo de pantalla del Panel de control File not found: deskpan.dll
+ iTunes iTunes Mini Player DLL (Not verified) Apple Computer, Inc. c:\archivos de programa\itunes\itunesminiplayer.dll
+ WinRAR shell extension c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Carpetas Web c:\archivos de programa\archivos comunes\microsoft shared\web folders\msonsext.dll
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
HKLM\System\CurrentControlSet\Services
+ aswUpdSv Brinda actualizaciones automáticas para el antivirus avast!. c:\archivos de programa\alwil software\avast4\aswupdsv.exe
HKLM\System\CurrentControlSet\Services
+ AdfuUd File not found: System32\Drivers\AdfuUd.sys
+ BlueletAudio Bluelet Audio Driver (Not verified) IVT Corporation c:\windows\system32\drivers\blueletaudio.sys
+ BT Bluetooth PAN Network Adapter Driver (Not verified) IVT Corporation c:\windows\system32\drivers\btnetdrv.sys
+ BTHidEnum c:\windows\system32\drivers\vbtenum.sys
+ BTHidMgr Bluetooth HID Manager driver (Not verified) IVT Corporation c:\windows\system32\drivers\bthidmgr.sys
+ Defender File not found: C:\Archivos de programa\SinEspias\Defender.sys
+ ewido security suite driver c:\archivos de programa\ewido anti-malware\guard.sys
+ GEARAspiWDM CDRom Class Filter Driver (Verified) GEAR Software Inc. c:\windows\system32\drivers\gearaspiwdm.sys
+ SANDRA Sandra Device Driver (Win32 x86)(Unicode) (Verified) SiSoftware LTD c:\archivos de programa\sisoftware\sisoftware sandra lite 2005.sr3\sandra.sys
+ Secdrv SafeDisc driver c:\windows\system32\drivers\secdrv.sys
+ Tablet2k Serial Tablet Filter Driver For Win2000/XP (Not verified) Tablet Driver c:\windows\system32\drivers\tablet2k.sys
+ VComm Bluetooth Serial Port Driver (Not verified) IVT Corporation c:\windows\system32\drivers\vcomm.sys
+ VcommMgr Bluetooth VcommMgr driver (Not verified) IVT Corporation c:\windows\system32\drivers\vcommmgr.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\SOFTWARE\Microsoft\Command Processor\Autorun
HKCU\SOFTWARE\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
Gracias de nuevo,
Lombardo.-
Navegación
[#] Página Siguiente
Ir a la versión completa