Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Rhea en 28 de Mayo de 2006, 09:23:37 pm
-
Hola! Me llamo Rhea y necesito bastante ayuda. Hace una semana un virus que se hacia llamar backdoor trojan entro a mi pc, lo primero que hizo fue cargarse el auto-protect de mi Norton y algun que otro archivo que hacia funcionar el winamp y el front page (los programas que estaba utilizando). Eliminé todo lo que me detectó el Norton excepto uno llamado ibm0001.dll que lo tengo en cuarentena. Instalé un cortafuegos como pude ya que los antivirus no se porque no funcionaban y ahi estoy. Hace poco instale uno llamado Ad-ware y desde el modo a prueba de fallos elimine muchos virus que tenia, pero aun asi el norton sigue sin funcionar con auto-protect y claro, estoy con el culo al aire. ¿Qué hago?
-
Arranca en modo a prueba de fallos, ve a la pagina de panda www.pandasoftware.es y pasa el activescan, elimina todo lo que detecte, cuando acabe reinicias, desinstalas el norton y vuelve a instalarlo, a ver si asi lo conseguimos.
-
El problema es que no tengo el cd del norton, me lo instaló el informatico que trabaja donde mi padre y es de la empresa, así que no puedo u.u crees que debería llevarlo a algun sitio a arreglar? mi padre me mata, en menos de 6 meses lo ha llevado 3 veces.
No hay otra solucion?
-
¿Las tres veces por lo mismo?
-
Que va, una fue por que el pc lo queria formatear, despues por que entró mi hermano y no se que movida me hizo con el pc & otra que tenia problemas con la conexión. Las 3 veces desinstalaba los antivirus que me instalaron y mi padre está que me mata xD Más que nada, porque se lo hacen como un favor. Pero esto es muy raro, creo que el virus ese dañó algun archivo del Norton, creo que ya lo eliminé completamente, pero claro, el norton no me defiende continuamente y me siguen entrando virus a punta pala. No se que descargarme ya u.u
-
Consíguete un antivirus gratuito y ligero y deja de lado al Norton ;-)
Regálanos un Log del Autoruns de Sysinternals (clic) (http://www.sysinternals.com/Utilities/Autoruns.html): descomprímelo en un directorio, dale doble clic al archivo AUTORUNS.EXE, oprime la tecla "Esc", ve al menú "Options", marca las tres primeras opciones y oprime la tecla F5, ve al menú "File", "Save as", dale un nombre y guárdalo, ahora abre el archivo en el Bloc de notas, copia el contenido y pégalo aquí...
-
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ Arovax AntiSpyware Arovax AntiSpyware (Not verified) Arovax c:\archivos de programa\arovax antispyware\arovaxantispyware.exe
+ ccApp Symantec User Session (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccapp.exe
+ Creative WebCam Tray Creative Camera Launcher Application (Not verified) Creative Technology Ltd c:\archivos de programa\creative\shared files\camtray.exe
+ DAEMON Tools-1033 Virtual DAEMON Manager (Not verified) DAEMON'S HOME c:\archivos de programa\d-tools\daemon.exe
+ defender (Not verified) ÄÂÃÌÀ c:\defender21.exe
+ ezShieldProtector for Px ezSP_Px MFC Application (Not verified) Easy Systems Japan Ltd. c:\windows\system32\ezsp_px.exe
+ HostManager AOL (Verified) America Online, Inc. c:\archivos de programa\archivos comunes\aol\1146507830\ee\aolsoftware.exe
+ keyboard File not found: C:\keyboard21.exe
+ MessengerPlus3 Messenger Plus! (Verified) Patchou c:\archivos de programa\messengerplus! 3\msgplus.exe
+ NeroFilterCheck NeroCheck (Not verified) Ahead Software Gmbh c:\windows\system32\nerocheck.exe
+ New.net Startup New.net Domains (Not verified) New.net, Inc. c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ newname File not found: C:\newname21.exe
+ QuickTime Task QuickTime Task (Not verified) Apple Computer, Inc. c:\archivos de programa\quicktime\qttask.exe
+ RemoteControl PowerDVD RC Service (Not verified) Cyberlink Corp. c:\archivos de programa\cyberlink\powerdvd\pdvdserv.exe
+ SmcService Sygate Agent Firewall (Verified) Sygate Technologies, Inc. c:\archivos de programa\sygate\spf\smc.exe
+ SunJavaUpdateSched Java(TM) 2 Platform Standard Edition binary (Not verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe
+ Symantec NetDriver Monitor Symantec Security Drivers Install Monitor (Verified) Symantec Corporation c:\archivos de programa\symnetdrv\sndmon.exe
+ SysTray File not found: c:\Program Files\casnrui.exe
+ ViewMgr ViewMgr (Verified) Viewpoint Corporation c:\archivos de programa\viewpoint\viewpoint manager\viewmgr.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
+ Adobe Gamma Loader.lnk Adobe Gamma Loader (Not verified) Adobe Systems, Inc. c:\archivos de programa\archivos comunes\adobe\calibration\adobe gamma loader.exe
C:\Documents and Settings\Rosa\Menú Inicio\Programas\Inicio
+ spywaresheriff.lnk File not found: C:\Archivos de programa\SpywareSheriff\spywaresheriff.exe
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ AIM File not found: C:\Archivos de programa\AIMLite\aim.exe
+ Aim6 AOL (Verified) America Online, Inc. c:\archivos de programa\archivos comunes\aol\launch\aollaunch.exe
+ MessengerPlus3 Messenger Plus! (Verified) Patchou c:\archivos de programa\messengerplus! 3\msgplus.exe
+ msnmsgr MSN Messenger (Not verified) Microsoft Corporation c:\archivos de programa\msn messenger\msnmsgr.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
+ application/octet-stream Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-complus Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-msdownload Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
HKLM\SOFTWARE\Classes\Protocols\Handler
+ ms-itss Microsoft® InfoTech Storage System Library (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll
+ msnim MSN Messenger Protocol Handler (Not verified) Microsoft Corporation c:\archivos de programa\msn messenger\msgrapp.dll
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
+ AIM File not found: C:\Archivos de programa\AIMLite\aim.exe
Task Scheduler
+ Norton AntiVirus - Analizar el equipo - Rosa.job Norton AntiVirus Scanner Module (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\navw32.exe
+ Symantec NetDetect.job Symantec NetDetect (Verified) Symantec Corporation c:\archivos de programa\symantec\liveupdate\ndetect.exe
HKLM\System\CurrentControlSet\Services
+ ccEvtMgr Symantec Event Manager (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccevtmgr.exe
+ ccSetMgr Symantec Settings Manager (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccsetmgr.exe
+ EPSONStatusAgent2 EPSON Printer Status Agent (Not verified) SEIKO EPSON CORPORATION c:\archivos de programa\archivos comunes\epson\ebapi\sagent2.exe
+ Network Monitor File not found: C:\Archivos de programa\Network Monitor\netmon.exe service
+ NPFMntor Detects installation of Symantec Firewall clients (Verified) Symantec Corporation c:\archivos de programa\norton antivirus\iwp\npfmntor.exe
+ SBService Norton AntiVirus ScripBlocking Service (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\script blocking\sbserv.exe
+ SmcService Sygate Agent Firewall (Verified) Sygate Technologies, Inc. c:\archivos de programa\sygate\spf\smc.exe
+ SNDSrvc Symantec Network Drivers Service (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\sndsrvc.exe
+ SPBBCSvc Symantec SPBBC (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\spbbc\spbbcsvc.exe
+ Symantec Core LC Symantec Core LC (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\ccpd-lc\symlcsvc.exe
HKLM\System\CurrentControlSet\Services
+ NAVENG AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20060517.020\naveng.sys
+ NAVEX15 AV Engine (Verified) Symantec Corporation c:\archivos de programa\archivos comunes\symantec shared\virusdefs\20060517.020\navex15.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ StillImage File not found: C:\WINDOWS\system32\WFDMLOG.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
+ New.net TCP Chain New.net Domains (Not verified) New.net, Inc. c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ New.net TCP Filter New.net Domains (Not verified) New.net, Inc. c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ New.net UDP Chain New.net Domains (Not verified) New.net, Inc. c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ New.net UDP Filter New.net Domains (Not verified) New.net, Inc. c:\archivos de programa\newdotnet\newdotnet7_22.dll
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
+ EPSON V3 2KMonitor346 EPSON Bidirectional Monitor (Not verified) SEIKO EPSON CORPORATION c:\windows\system32\e_sl2346.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
-
lo hice 2 veces y m salieron cosas distintas o.O por eso lo modifique, haber que me decis.
-
Viendo todo lo que tienes, creo que sería más fácil formatear y empezar de nuevo... :???:
Haz una copia de seguridad del registro (te recomiendo el ERUNT (http://www.larshederer.homepage.t-online.de/erunt/)), deshabilita el "Restaurar el sistema", reinicia en Modo seguro, ejecuta el Autoruns, selecciona las siguientes entradas con el botón dercho y dale clic a "Delete":
+ Arovax AntiSpyware Arovax AntiSpyware (Not verified) Arovax c:\archivos de programa\arovax antispyware\arovaxantispyware.exe
+ defender (Not verified) ÄÂÃÌÀ c:\defender21.exe
+ keyboard File not found: C:\keyboard21.exe
+ New.net Startup New.net Domains (Not verified) New.net, Inc. c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ newname File not found: C:\newname21.exe
+ QuickTime Task QuickTime Task (Not verified) Apple Computer, Inc. c:\archivos de programa\quicktime\qttask.exe
+ SunJavaUpdateSched Java(TM) 2 Platform Standard Edition binary (Not verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe
+ SysTray File not found: c:\Program Files\casnrui.exe
+ spywaresheriff.lnk File not found: C:\Archivos de programa\SpywareSheriff\spywaresheriff.exe
+ AIM File not found: C:\Archivos de programa\AIMLite\aim.exe
+ AIM File not found: C:\Archivos de programa\AIMLite\aim.exe
+ Network Monitor File not found: C:\Archivos de programa\Network Monitor\netmon.exe service
+ StillImage File not found: C:\WINDOWS\system32\WFDMLOG.dll
Además, baja el LSPFix (http://www.cexx.org/LSPFix.exe), ejecútalo, toma nota de lo que aparece tanto del lado izquierdo como del derecho de la ventana y escríbelo en tu siguiente mensaje y NO HAGAS NADA MAS, cierra el programa usando la [X] arriba a la derecha...
-
+ Arovax AntiSpyware Arovax AntiSpyware (Not verified) Arovax c:\archivos de programa\arovax antispyware\arovaxantispyware.exe
+ ezShieldProtector for Px ezSP_Px MFC Application (Not verified) Easy Systems Japan Ltd. c:\windows\system32\ezsp_px.exe
+ New.net Startup New.net Domains (Not verified) New.net, Inc. c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ newname File not found: C:\newname21.exe
+ spywaresheriff.lnk File not found: C:\Archivos de programa\SpywareSheriff\spywaresheriff.exe
+ ms-itss Microsoft® InfoTech Storage System Library (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
+ StillImage File not found: C:\WINDOWS\system32\WFDMLOG.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
+ New.net TCP Chain New.net Domains (Not verified) New.net, Inc. c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ New.net TCP Filter New.net Domains (Not verified) New.net, Inc. c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ New.net UDP Chain New.net Domains (Not verified) New.net, Inc. c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ New.net UDP Filter New.net Domains (Not verified) New.net, Inc. c:\archivos de programa\newdotnet\newdotnet7_22.dll
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
Ad-ware es un antitroyano que te limpia unos y te instala otros no lo confundas con Ad-Aware, arovaxantispyware.exe otro similar spywaresheriff creo que has instalado todos los malos de la pelicula, ademas tienes dos antivirus aunque presumo que Bit Defender ya no corre pero sigue cargado en memoria como lastre
Tienes bastante trabajo de limpieza y aun asi tu SO creo que tendrá una resaca similar a la que tendrias despues de tomarte unos tragos baratos
La limpieza debera ser bien realizada sobre los archivos dll, temporales, cookies, revisar los archivos del sistema, los registros, luego restaurar los archivos del sistema uff trabajo bastante largo y minucioso porque algunos de ellos no los limpian los antivirus y antispys y hay que limpiarlos manualmente......
Me inclino por hacer un backup de la data y hacer una instalación limpia, es mas rapido y seguro
-
Viendo todo lo que tienes, creo que sería más fácil formatear y empezar de nuevo... :???:
Haz una copia de seguridad del registro (te recomiendo el ERUNT (http://www.larshederer.homepage.t-online.de/erunt/)), deshabilita el "Restaurar el sistema", reinicia en Modo seguro, ejecuta el Autoruns, selecciona las siguientes entradas con el botón dercho y dale clic a "Delete":
+ Arovax AntiSpyware Arovax AntiSpyware (Not verified) Arovax c:\archivos de programa\arovax antispyware\arovaxantispyware.exe
+ defender (Not verified) ÄÂÃÌÀ c:\defender21.exe
+ keyboard File not found: C:\keyboard21.exe
+ New.net Startup New.net Domains (Not verified) New.net, Inc. c:\archivos de programa\newdotnet\newdotnet7_22.dll
+ newname File not found: C:\newname21.exe
+ QuickTime Task QuickTime Task (Not verified) Apple Computer, Inc. c:\archivos de programa\quicktime\qttask.exe
+ SunJavaUpdateSched Java(TM) 2 Platform Standard Edition binary (Not verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.5.0_06\bin\jusched.exe
+ SysTray File not found: c:\Program Files\casnrui.exe
+ spywaresheriff.lnk File not found: C:\Archivos de programa\SpywareSheriff\spywaresheriff.exe
+ AIM File not found: C:\Archivos de programa\AIMLite\aim.exe
+ AIM File not found: C:\Archivos de programa\AIMLite\aim.exe
+ Network Monitor File not found: C:\Archivos de programa\Network Monitor\netmon.exe service
+ StillImage File not found: C:\WINDOWS\system32\WFDMLOG.dll
Además, baja el LSPFix (http://www.cexx.org/LSPFix.exe), ejecútalo, toma nota de lo que aparece tanto del lado izquierdo como del derecho de la ventana y escríbelo en tu siguiente mensaje y NO HAGAS NADA MAS, cierra el programa usando la [X] arriba a la derecha...
Entre que no me entero de nada e hice lo que me dijist, eliminé los archivos dsd modo seguro, hice lo del registro... Ahora te pondré los archivos que me salieron. Me meto en mi sesión y programas como el NORTON ya no me funcionan porque me dice que ha caducado (cosa que me extraña que justo cuando hago eso me diga bye bye), también otros como el "cortafuegos" que tenía que ni se me abre... Ahora si que estoy con el culo al aire u.u que mal...
Te dejo aqui los archivos que me aparecieron en el LSPFix:
KEEP:
mswsock.dll (TCPIP)
winrnr.dll (NTDS)
Newdotnet7_22.dll (Protocol handler)
rsvpsp.dll (Protocol handler)
REMOVE:
Nada...
Haber que me podeis decir ahora :( yo ya no se que hacer...
-
1.-Desinstala el Norton
2.-Revisa si tienes una entrada en Agregar/quitar programas del Panel de control que haga referencia al "Newdotnet". Si es así, desinstálala
3.-Saca un nuevo Log del Autoruns