Alnitax, ayuda!

Estado
Cerrado para nuevas respuestas

hsaez1983

Nuevo Miembro
Miembro
#1
Hola, he estado viendo que pides bajar unos programas para así ver que le pasa al PC. Sucede que tengo un PIII 550,128 ram,Windows XP y me aparecen al inicio unso procesos que supongo no deberian estar (iexplore,msnappau,updatez,winupdate). Al cerrarlos puedo navegar tranquilo pues no dejan fluir información por lo que no carga ninguna pagina.

Porfis, me puedes decir que hacer?

gracias, chau!
 

alnitak

Ex-Admin
Miembro
#2
Porfis, me puedes decir que hacer?
Pues, te has respondido solo:

he estado viendo que pides bajar unos programas para así ver que le pasa al PC
Bajate el HijackThis y colócame el log porque adivinos no vas a encontrar aquí

iexplore es el ejecutable del internet explorer si está en la carpeta del Internet explorer y cualquier otra cosa si está en otra carpeta.

Lo mismo vale para todos los nombres de los archivos de sistema de Windows, si están en la carpeta correcta son archivos de sistema y si están en otra pues, depende de donde estén.

Mientras no postees un log no te puedo decir mas sobre esos archivos y menos como remover los malwares.

En cambio si tienes un winupdate.exe ese es seguramente un malware porque en XP no existe ningún archivo con ese nombre y ningún programa legal usaría un nombre tan grotesco y updatez.exe es otro malware.

En fin, esperaré que postees un log, mientras no sería mala idea pasar un antivirus o escanearte on line
 

hsaez1983

Nuevo Miembro
Miembro
#3
Logfile of HijackThis v1.98.2

Scan saved at 9:51:20, on 30-08-2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\carpserv.exe

C:\WINDOWS\System32\Updatez.exe

C:\WINDOWS\System32\iexplore.exe

C:\WINDOWS\System32\WINUPDATE.EXE

C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es-la\msnappau.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Documents and Settings\Héctor Sáez C\Mis documentos\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1601.0\msgr.es.es-la\msntb.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [Microsoft Update Mechene] Updatez.exe

O4 - HKLM\..\Run: [$WindowsRegKey%update] iexplore.exe

O4 - HKLM\..\Run: [Microsoft Windows Updater] WINUPDATE.EXE

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es-la\msnappau.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\RunServices: [Microsoft Update Mechene] Updatez.exe

O4 - HKLM\..\RunServices: [$WindowsRegKey%update] iexplore.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Updater] WINUPDATE.EXE

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Microsoft Update Mechene] Updatez.exe

O4 - HKCU\..\Run: [$WindowsRegKey%update] iexplore.exe

O4 - HKCU\..\Run: [Microsoft Windows Updater] WINUPDATE.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

Hola, aca está lo que me pediste. El proceso lsass.exe, es realmente el sasser (eso he escuchado).

Gracias.
 

alnitak

Ex-Admin
Miembro
#4
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola. Estás infectado por 3 gusanos.

Este: >> http://www.sophos.com/virusinfo/analyses/w32rbotgi.html

Este: >> http://www.sophos.com.au/virusinfo/analyses/w32rbotez.html

y el otro no se cual será porque ese mismo nombre lo usan varios.

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Abre el administrador de tareas: <Ctrl>+<Alt>+<Sup>

De existir estos procesos termínalos (no deberían existir):

C:\WINDOWS\System32\Updatez.exe

C:\WINDOWS\System32\iexplore.exe

C:\WINDOWS\System32\WINUPDATE.EXE

Cierra el administrador de tareas y vuelvelo a abrir para asegurarte que lo procesos no estén.

Inicia el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1601.0\msgr.es.es-la\msntb.dll (file missing)

O4 - HKLM\..\Run: [Microsoft Update Mechene] Updatez.exe

O4 - HKLM\..\Run: [$WindowsRegKey%update] iexplore.exe

O4 - HKLM\..\Run: [Microsoft Windows Updater] WINUPDATE.EXE

O4 - HKLM\..\RunServices: [Microsoft Update Mechene] Updatez.exe

O4 - HKLM\..\RunServices: [$WindowsRegKey%update] iexplore.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Updater] WINUPDATE.EXE

O4 - HKCU\..\Run: [Microsoft Update Mechene] Updatez.exe

O4 - HKCU\..\Run: [$WindowsRegKey%update] iexplore.exe

O4 - HKCU\..\Run: [Microsoft Windows Updater] WINUPDATE.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Elimina estos archivos:

C:\WINDOWS\System32\Updatez.exe

C:\WINDOWS\System32\iexplore.exe

C:\WINDOWS\System32\WINUPDATE.EXE

C:\WINDOWS\System32\KEYLOGS.TXT

Reinicia desde cada cuenta de cada usuario, abre el editor de registro:

Inicio>escribes regedit y acepta.

Respalda primero el registro exportándolo como archivo.

Después navégalo hasta ubicarte en esta rama:

HKEY_CURRENT_USER\

Software\

Microsoft\

Windows\

CurrentVersion\

Run\

De existir elimina estas entradas:

[Microsoft Update Mechene] Updatez.exe

[$WindowsRegKey%update] iexplore.exe

[Microsoft Windows Updater] WINUPDATE.EXE

Después de repetir esto por cada usuario reinicia normalmente, y reactiva la opción de restaurar el sistema.

Estos gusanos realizan cambios adicionales en el registro que hay que revertir.

El primer cambio es desactivar el DCOM modificando esta clave:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"

Sigue los pasos de este artículo de Microsoft para reactivar el DCOM

http://support.microsoft.com/default.aspx?...kb;es-es;825750

Use DCOMCNFG.EXE

Ejecute Dcomcnfg.exe.

Si está ejecutando Windows XP o Windows Server 2003, realice estos pasos adicionales:

Haga clic en el nodo Servicios de componentes, en Raíz de la consola.

Abra la carpeta Equipos.

Para el equipo local, haga clic con el botón secundario del mouse (ratón) en Mi PC y, después, haga clic en Propiedades.

Para un equipo remoto, haga clic con el botón secundario del mouse (ratón) en la carpeta Equipos, seleccione Nuevo y, a continuación, haga clic en Equipo.

Escriba el nombre del equipo.

Haga clic con el botón secundario del mouse (ratón) en el nombre del equipo y, a continuación, haga clic en Propiedades.

Haga clic en la ficha Propiedades predeterminadas.

Haga clic para activar (o desactivar) la casilla de verificación Habilitar COM distribuido en este equipo.

Si desea configurar más propiedades para este equipo, haga clic en el botón Aplicar para habilitar (o deshabilitar) DCOM. En otro caso, haga clic en Aceptar para aplicar los cambios y cerrar Dcomcng.exe.

Reinicie el sistema operativo para que los cambios surtan efecto.
La otra entrada que cambian es esta:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"

Debes cambiar ese valor a 0

Información adicional aquí:

http://support.microsoft.com/default.aspx?...kb;es-es;246261

Despuésde revertir todos los cambios entras al Windows Update y actualiza tu sistema.

Por ultimo postea otro log.

PD:

lsass.exe es un archivo de sistema, no estás infectado por el Sasser y no se te ocurra eliminar ese archivo (de todo modo no creo lo logres eliminar así de facil)

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie