¿Procesos normales o virus?

Tema en 'Windows XP' comenzado por CatOngura, 18/8/04.

Estado del tema:
No está abierto para más respuestas.
  1. CatOngura

    CatOngura Nuevo Miembro Miembro

    Hola a todos,

    cómo veréis soy nuevo en éste foro. Lo he encontrando buscando varia información.

    Os explico mi problema:

    Abro la pantalla de procesos y veo que hay muchos; algunos los está ejecutando el usuario, y otros el System. Sospecho que algunos són, o bién virus, o de estos de publicidad y de otras cosas.

    ¿Cómo lo puedo saber?, ¿cómo los quito?

    Ya he pasado un antivirus on-line y mi antivirus en modo prueba de fallos.

    Gracias.
  2. ericweb

    ericweb Guest

    Hola CatOngura, te recomiendo que te bajes el hijackthis y que pongas el log aca asi te podemos ayudar.



    saludos



    ericweb
  3. alnitak

    alnitak Nuevo Miembro Miembro

    Puedes bajarte el HijackThis aqui:



    http://www.trucoswindows.net/detalles-87-hijackthis.html



    Crea una nueva carpeta y lo salvas en ella, depsues lo ejecutas>>le das a Scan>>Save Log>>copia el contenido y lo colocas aqui para verlo.



    Tambien le das a Config>>misc Tools>>Generate Startuplist y tambien nos colocas ese log
  4. CatOngura

    CatOngura Nuevo Miembro Miembro

    Hola de nuevo, perdonad por el retraso, no he podido hacerlo antes.

    Aquí lo tenéis.



    Y el otro .log:

    Gracias

    PD: ¿podríais hacer algun comentario del programa y más o menos que es cada cosa? Lo digo para aprender cómo va y eso...

    Gracias de nuevo
  5. alnitak

    alnitak Nuevo Miembro Miembro



    Estás infectado por un malware que no logro identificar, probablemente algun gusano nuevo.

    Quedan tambien rastros de una infeccion anterior del adware Twain Tech



    Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:



    http://service1.symantec.com/SUPPORT/INTER...4b?OpenDocument



    Reinicia el sistema en modo seguro:



    http://service1.symantec.com/SUPPORT/INTER...65?OpenDocument



    Desactiva la opción de restaurar el sistema:



    http://service1.symantec.com/SUPPORT/INTER...020515173946924



    Inicia el hijackthis.



    Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)



    Dale a Scan , cheka la casilla al lado de las siguientes entradas y dale a Fix



    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank



    O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)

    O2 - BHO: (no name) - {68AE620B-904E-0891-D357-63550CAC2A43} - C:\WINDOWS\System32\aijilhe.dll



    O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe

    O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe

    O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe





    Elimina estos archivos:



    C:\WINDOWS\System32\aijilhe.dll

    msconfg.exe (no confundir con msconfig.exe)



    Reinicia normalmente, reactiva la opción de restaurar el sistema y toma otro log.





    Algunos comentarios tal como me has pedido:



    Tienes una lista de la mayoría de los BHO(acrinimo de Browser Helper Objects) y toolbars aqui:



    http://computercops.biz/CLSID.html



    Este: O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)

    no hace ni falta buscarlo porque por el nombre asociado es claramente una entrada del Twain Tech:



    http://www.pchell.com/support/twaintec.shtml



    nos sale file missing por lo tanto el archivo ha sido removido, tal vez por tu antivirus o por algun programa antispyware, pero la entrada ha quedado y puede llegar a provocar errores del IExplorer por lo tanto hay que removerla



    este otro:



    O2 - BHO: (no name) - {68AE620B-904E-0891-D357-63550CAC2A43} - C:\WINDOWS\System32\aijilhe.dll



    Puedes ver que no existe en la lista. Una busqueda en google por el nombre de la dll tampoco dará resultados. Si algo no existe en google es con un 99,9 % de probabilidades algun malware muy nuevo o que utiliza nombres aleatorios para sus archivos.



    Las toolbars son todas legales, pero ya al pasar a las entradas del 04 que le corresponden a todo lo que se arranca con el sistema operativo vemos estas 3 entradas:



    O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe

    O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe

    O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe



    De por si casi ningun programa legal usaría las 3 al mismo tiempo, esto lo hacen los malwares para dificultar la remocción. Ademas ese nombre msconfg.exe

    es usado claramente para confundir al usuario ya que es muy parecido a msconfig.exe y no le corresponde al ejecutable del Microsoft Update como quiere hacernos creer por lo tanto es seguramente un malware. Una rapida busqueda en google nos lo confirmará, pero solo encontraremos referencias a este archivo en algunos foros gringos, nada en Español y nada en las paginas oficiales de los antivirus, por lo tanto se trata de algun malware nuevo, probablemente un gusano por el patrón de infeccion. (osea por colocar esas 3 entradas de registro juntas)
  6. CatOngura

    CatOngura Nuevo Miembro Miembro

    Buenas,

    Primero: muchas gracias, me parece increible que podáis conocer todo ésto, es cómo aquel que se sabe mover por el registro del Windows.

    Segundo

    Parece que he tenido algun problema:

    1- Cuando dices que desactive la opcion de restaurar el sistema, ¿a que te refieres? Lo digo porqué la casilla de verificación pone "Desactiva Restaurar el sistema" de forma que si activo la casilla, se desactiva la opción "Desactiva Restaurar el sistema", en cambio si la dejo activada queda desactivada la opción restaurar el sistema

    2- No he encontrado los arxivos msconfg.exe ni tampoco C:\WINDOWS\System32\aijilhe.dll

    i aquí pongo el .log:

    Y el otro no sé si es necesario, pero lo pongo:

    Gracias de nuevo
  7. alnitak

    alnitak Nuevo Miembro Miembro

    Hola.



    Desactivar la opcion de restaurar el sistema es necesario cada vez que se quiere remover un virus que se aloje en la carpeta de sistema. Esto se debe a que Windows restaura automaticamente los archivos borrados cuando se ancuentran en esta carpeta, ademasestos malwares son respaldados y si en el futuro decides usar un punto de restauracion anterior a la remoccion del virus te volverías a infectar.



    Para desactivarla:



    Tecla de Windows + tecla de pausa >> pestana restaurar el sistema >>Marca la casilla de Desactivar restaurar el sistema en todas las unidades.



    Para reactivarla lo mismo de arriba pero esta vez descmarcas la casilla.



    El archivo: C:\WINDOWS\System32\aijilhe.dll debe existir o en el log habria salido (file missing)



    El archivo msconfg.exe puede existir o no existir, esto no lo podemos saber desde el log, pero es probable que exista puesto que los antivirus no lo conocen y por lo tanto no deberian poderlo remover. Se deberia encontrar en la carpeta C:\WINDOWS\System32\ o en otra carpeta que esté agregada al path puesto que sale cin la direccion completa. Ejecuta una busqueda en tu Sistema para encontralo despues de haber seguido estas instrucciones:



    http://service1.symantec.com/SUPPORT/INTER...4b?OpenDocument



    Para que tu sistema muestre los arcvhivos y carpetas ocultas.



    De todo modo aunque no elimines fisicamente estos archivos el HijackThis ya ha removido las entradas de registro que lo ejecutaban, por lo tanto no estás infectado. Eliminar los ejecutables es mas bien una garantia adicional de que no los repiques por error en el futuro volviendote a infectar pero no es indispensable.
  8. CatOngura

    CatOngura Nuevo Miembro Miembro

    Código:
    for(int i=0;i<1000;i++)
    
    {
    
          cout<< "Gracias";
    
    }


    Si no lo recuerdo mal ( B))

    Parece que el problema ha quedado resuelto alnitak. Gracias por todo.

    Saludos
Estado del tema:
No está abierto para más respuestas.

Comparte esta página