Archivos sospechosos

Estado
Cerrado para nuevas respuestas

saurom

Nuevo Miembro
Miembro
#1
Hola. HAy algúnos archivos de los cuales sospecho.

El principal es systemie.exe que me aparece en c:\windows\system\ que muy a menudo aparece como un proceso activo. Busque por la fecha de creacion del archivo systemie.exe y me aparecen con la misma fecha y la misma o parecida hora los siguientes archivos: nnctl.exe y ppdtl.exe en el directorio raiz, y sief.dat y sp.dat en c:\windows\system\ Tengo el Panda Antivirus Platinum actualizado y no detecta nada. El Adaware tampoco detecta nada extraño. Y el zonealarm tampoco indica conexiones a la red.

Sabeis si algúno de estos archivos es un virus, troyano, o algún otro archivo maligno?
 

strike20

Nuevo Miembro
Miembro
#2
holas:::::::::::::::

bueno bajate el kaspersky y pasalo....

bueno aquí encontraras algo sobre el pptdl.exe y sobre el nnctl.exe pueda que sea un keyloger..

te recomiendo que le pases el antivirus puesto arriba, y bueno después le pases el adaware y luego reinicies tu pc.....

bueno suerte y saludos::::::::::::rolleyes:
 

alnitak

Ex-Admin
Miembro
#3
Parecen ser adwares, si las herramientas de escaneo no te resuelve nel problema bájate el HijackThis 1.98.2 crea una nueva carpeta que sea solo para el y sálvalo en ella, después ejecútalo, dale a Scan, después a Save log, salva el log y cópialo aquí.
 

saurom

Nuevo Miembro
Miembro
#4
Hola. Gracias por responder.

Me bajé el kaspersky pero no puedo usarlo porque me pide una llave de licencia. ¿No se supone que tengo 30 días gratis de prueba? Pero en la página de kaspersky analice los ficheros sospechosos y sale que tienen virus Trojan.Win32.Small.bo y otros el Trojan.Win32.Starter y además otro archivo del que empecé a sospechar, el sysie.dll, está también infectado con Trojan.Win32.Small.bo. Así que el problema parece venir por ahí

También analicé mi disco duro desde la página del bitdefender y detecta todos esos virus salvo el del sysie.dll, pero desde la página parece no se puede desinfectar. Y el Panda que tengo instalado y actualizado no me detectó NINGUNO.

Sabriais decirme como los desinfecto?

Gracias
 

alnitak

Ex-Admin
Miembro
#5
Por los nombres parecen ser secuestradores de la pagina de inicio.

Por favor colocame el log del hijackThis tal como te lo he pedido en el post anterior o consiguete una clave valida de Kasperky que no es tan dificil.
 

saurom

Nuevo Miembro
Miembro
#6
Hola. He estado probando algúnas cosas y hace tiempo que no he podido escribir aquí. Disculpen que resucite este post tan antiguo.

No vi forma de probar el kaspersky, así que me bajé avast! y escanee el disco duro. Avast! me detecto virus en todos los archivos que sospechaba, salvo el sysie.dll. Pero el antivirus me ha hecho una escabechina tremenda y ha detectado virus incluso entre los archivos del PANDA!!! :( Me parece que en el pavdll detectó el virus kuang2 pero no estoy seguro. Ni que decir tengo que borró archivos del panda y se lo ha cargado. Aunque curiosamente el ordenador me va ahora mejor, no se si porque borró los virus o porque se cargó al Panda. El avast! parece desde luego más sensible que el panda aunque me lio aun un poco con su funcionamiento. El sysie.dll solo es considerado virus por el kaspersky, así que visto que este antivirus no puedo hacerlo rular, borré el sysie.dll a la antigua usanza (DEL).

Me habeis pedido más de una vez que le pase el hijackthis, pues bien, ahí lo pongo:

Logfile of HijackThis v1.98.2

Scan saved at 2:44:39, on 17/11/04

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\STARTER.EXE

C:\WINDOWS\SYSTEM32\DRIVERS\KODAKCCS.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\USBMONIT.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:14000

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Apvxdwin.exe" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [KodakCCS] C:\WINDOWS\System32\Drivers\KodakCCS.exe

O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [USBMonit.exe] "C:\WINDOWS\SYSTEM\USBMonit.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [ashMaiSv] C:\ARCHIV~1\ALWILS~1\AVAST4\ashmaisv.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"

O4 - HKLM\..\RunServices: [PAVFIRES] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\Pavfires.exe"

O4 - HKLM\..\RunServices: [avast!] C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O4 - Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {CF86B461-4AD9-11D8-80C9-C5449B089662} - (no file)

O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - http://activex.microsoft.com/activex/contr...ate/sdkinst.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O21 - SSODL: systemie - {B26BFB20-3358-11D9-80C9-000E5C2FCE81} - systemie.dll (file missing)

Hay algúnos que creo que tengo que remover, pero espero vuestra opinion.

Saludos.
 

alnitak

Ex-Admin
Miembro
#7
Si ya no tienes Panda instalado vamos a remover todas sus entradas tambien.

Cheka las casillas de estas y dale a fix:

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Apvxdwin.exe" /s

O4 - HKLM\..\RunServices: [PANDASCHEDULER] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"

O4 - HKLM\..\RunServices: [PAVFIRES] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\Pavfires.exe"

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {CF86B461-4AD9-11D8-80C9-C5449B089662} - (no file)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O21 - SSODL: systemie - {B26BFB20-3358-11D9-80C9-000E5C2FCE81} - systemie.dll (file missing)

NOTA:

Los que me conocen un poquito saben que soy enemigo de Panda. Esta herramienta de seguridad es bastante peor que la mayoría de los malwares, simplemente desastrosa para un buen numero de equipos. No recomiendo instalarlo ni en sueños, ademas se le suelen escapar un gran numero de malwares. No quiero decir que no sirva de nada pero..............si me ponen a escoger entre instalar 3 gusanos o Panda instalo seguramente los 3 gusanos y el sistema andará mejor que con Panda. No se si me he logrado explicar B)
 

saurom

Nuevo Miembro
Miembro
#8
Ya he removido lo del HijackThis. Creo que tienes razón. El panda hacia que mi ordenador fuera muy mal, se colgara a menudo no se me apagase bien y además era un coladero para los virus. Lo bueno es que escaneaba los correos electrónicos ya recibidos y tenía un firewall, pero visto lo visto creo que debo darle las gracias a Avast! por haberselo cargado. De momento creo que me quedo con el avast! aunque al principio me desconcertó un poco (acostumbrado al Panda...)

Ah! Sólo una cosa más y prometo que ya no escribo más en este hilo

Desde que tengo Avast! me dice el ZoneAlarm que el archivo RPCSS.exe se quiere conectar a internet, y buscándolo he visto que es un archivo de c:\windows\system\ y parece un componente normal de Windows 98. No hay ningún inconveniente, no?

Gracias por la ayuda
 

alnitak

Ex-Admin
Miembro
#9
Es un servicio legal de Windows pero puede ser peligroso si tu sistema no está actualizado, así que entra al Windows Update y asegurate que lo esté :D

Si tu sistema funciona normalmente al bloquearlo con el firewall mantenlo bloqueado, si notas inestabilidad entonces dejalo conectar.
 

saurom

Nuevo Miembro
Miembro
#10
Por el SiSoft Sandra 2001 he podido ver que rpcss.exe es iniciado por avast! así que supongo será necesario para su funcionamiento. Por lo demás no hay más dudas.

Gracias por la ayuda.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie