AYUDA Backdoor.Egghead y Tarjetas de RED

Estado
Cerrado para nuevas respuestas

cablemen

Nuevo Miembro
Miembro
#1
Alguien podría ayudarme a deshacerse de el virus llamado Backdoor.EggHead .

En la web de symantec no encuentro un removal tool, Me pide que lo remueba manualmente borrando estos archivos siguientes:

Services.exe

Pskill.exe

B.bat

Tcpsvcs.exe

Good_client.exe.

B.bat

El problema es que no encuentro estos archivos, solo el archivo llamado Tcpsvcs.exe que al inicio del sistema se activa como proceso que ocupa un 99 % del cpu, ecitando que yo ejecute cualquier cosa,este archivo se encuentra en la carpeta del system root (Wiondows/), pero lo que sucedio es que al borrarlo las siguientes tarjetas de red se han hecho algúnos errores: Adaptador de minipuerto Tun de Microsoft #2 , Minipuerto WAN (IP) #2 , Intel ® PRO/100 VM Network Connection

Me podran decir, si es que hay, un removal tool para ese virus y como solucionar el problema de esas tarjetas de red. Se los agradecería mucho.
 

TiaMaT

Nuevo Miembro
Miembro
#2
Haciendo una rapidísima búsqueda en google no encontré una herramienta que te ayude a remover dicho virus (todos los sitios de antivirus hacen referencia a su software), por lo que una forma de eliminarlo sería usando algún antivirus en línea como el panda o el trendmicro, aparte creo que por ahi en el internet anda un antivirus gratuito pero no me se su nombre.
 

alnitak

Ex-Admin
Miembro
#4
Si los antivirus no te resuelven el problema, bájate el HijackThis 1.99.0 descomprímelo en c:\ ejecútalo, dale a Do a system scan and save a log, salva el log y copialo aquí.
 

cablemen

Nuevo Miembro
Miembro
#5
AQUI Esta mi Log de mi PC

Logfile of HijackThis v1.98.2

Scan saved at 01:12:30 p.m., on 16/01/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\cisvc.exe

C:\ARCHIV~1\NORTON~2\NORTON~4\GHOSTS~2.EXE

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\WINDOWS\system\svhost.exe

C:\ARCHIV~1\NORTON~2\NORTON~3\NPROTECT.EXE

C:\WINDOWS\system32\Smtray.exe

C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Archivos de programa\Compaq\Easy Access Button Support\StartEAK.exe

C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Archivos de programa\Compaq\Easy Access Button Support\CPQEADM.EXE

C:\COMPAQ\CPQINET\CPQInet.exe

C:\Archivos de programa\Norton SystemWorks\Password Manager\AcctMgr.exe

C:\Compaq\EAKDRV\EAUSBKBD.EXE

C:\ARCHIV~1\Compaq\EASYAC~1\BttnServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\ARCHIV~1\NORTON~2\NORTON~3\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\cidaemon.exe

C:\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: EMES X Class - {000000DA-0786-4633-87C6-1AA7A4429EF1} - C:\WINDOWS\System32\emesx.dll

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Archivos de programa\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [.mscsbl] C:\WINDOWS\system\svhost.exe

O4 - HKLM\..\Run: [WCOLOREAL] "C:\Archivos de programa\COMPAQ\Coloreal\coloreal.exe"

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [Smapp] Smtray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Archivos de programa\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [CPQEASYACC] C:\Archivos de programa\Compaq\Easy Access Button Support\StartEAK.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [AcctMgr] C:\Archivos de programa\Norton SystemWorks\Password Manager\AcctMgr.exe /startup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\RunServicesOnce: [washindex] C:\Program Files\Washer\washidx.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MI1933~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html

O9 - Extra button: Browser Pal Toolbar - {07B7F771-1B8E-4B7B-823E-FFAC1732AA9F} - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O10 - Broken Internet access because of LSP provider 'csloa.dll' missing

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {28F00B0F-DC4E-11D3-ABEC-005004A44EEB} (Register Class) - http://content.hiwirenetworks.net/inbrowse...5.26/Hiwire.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200201...meInstaller.exe

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} - http://www.grupomarineda.net/auto/DialerData.cab

O16 - DPF: {89122070-4199-11D4-8BAF-0050045B552C} - http://download.rocketpipe.com/bundles/1297.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-mx/mx/games2.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://kit.carpediem.fr/15239/xgratos.exe

O16 - DPF: {DF7A9F1F-E06B-4BE7-A27E-1BE7EA5AFC1C} - http://www.infodialer3000.com/perfiles2/infosistemas3000.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

O18 - Filter: text/html - {A4D474A8-0CF0-4ABF-93AC-677AB47235ED} - C:\Documents and Settings\Alexis\Configuración local\Datos de programa\microsoft\internet explorer\V0.15.dat

Espero que con esto se hagan notar los defectos de mi pc

B)
 

alnitak

Ex-Admin
Miembro
#6
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola,

Por favor, bájate e instala el programa Disk Cleaner

Bajate el lspfix

http://www.snapfiles.com/get/lspfix.html

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Como mostrar archivos ocultos

Desactiva la opción de restaurar el sistema

Como activar/desactivar restaurar el sistema

Ejecuta el HJT >> open the misc tools section >> delete a file on reboot >> selecciona uno a la vez estos archivos:

C:\WINDOWS\System32\emesx.dll



C:\WINDOWS\system\svhost.exe

C:\Documents and Settings\Alexis\Configuración local\Datos de programa\microsoft\internet explorer\V0.15.dat

Acepta y reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Ejecuta el HijackThis 1.99.0.

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

O2 - BHO: EMES X Class - {000000DA-0786-4633-87C6-1AA7A4429EF1} - C:\WINDOWS\System32\emesx.dll

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)

O4 - HKLM\..\Run: [.mscsbl] C:\WINDOWS\system\svhost.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O16 - DPF: {28F00B0F-DC4E-11D3-ABEC-005004A44EEB} (Register Class) - http://content.hiwirenetworks.net/inbrowse...5.26/Hiwire.cab

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200201...meInstaller.exe

O16 - DPF: {5C3A9EA6-4068-46B8-8B5A-692FB10607B1} - http://www.grupomarineda.net/auto/DialerData.cab

O16 - DPF: {89122070-4199-11D4-8BAF-0050045B552C} - http://download.rocketpipe.com/bundles/1297.cab

O16 - DPF: {C771B05E-E725-4516-97A5-4CE5EB163CFB} - http://kit.carpediem.fr/15239/xgratos.exe

O16 - DPF: {DF7A9F1F-E06B-4BE7-A27E-1BE7EA5AFC1C} - http://www.infodialer3000.com/perfiles2/infosistemas3000.cab

O18 - Filter: text/html - {A4D474A8-0CF0-4ABF-93AC-677AB47235ED} - C:\Documents and Settings\Alexis\Configuración local\Datos de programa\microsoft\internet explorer\V0.15.dat



Cierra el HijackThis, elimina los archivos temporales y cookies con el disk cleaner: marcas las casillas System Tempory Files, Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.

Ejecuta el lspfix y maximiza la ventana

En el lado derecho esta la ventana que dice remove, adentro de esta ventana debería estar un archivo que se llamará:

csloa.dll

Simplemente clica el boton finísh>> para que sea removido

Reinicia y reactiva la opción de restaurar el sistema.

Instala la ultima versión de Ad Aware SE, actualízalo y escanéate para que termine de limpiar.

Escaneate con tu antivirus y deja que remueva lo que encuente.

Actualiza tu sistema a través del Windows Update y bájate todas las actualizaciones críticas disponibles para tu sistema operativo.

Toma otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

cablemen

Nuevo Miembro
Miembro
#7
:confused: Hola. Gracias por ayudarme a quitar ese virus, logre borrar esos archivos maliciosos y el virus se fue, ahora puedo entrar a internet ya que el virus no me dejaba. :D
 

cablemen

Nuevo Miembro
Miembro
#8
Desafortunadamente las tarjetas de red, llamadas "adaptador de minipuerto Tun de Microsoft #2 , y, minipuerto WAN (IP) #2, me ha marcado errores y aparece un signo de admiracion "!" a un lado de estas.

Le he clicado en las propiedades y me muestra lo siguiente:

Adaptador de minipuerto Tun de Microsoft #2

Tipo de dispositivo: Adaptadores de red

Fabricante: Micosoft

Ubicación: Desconocido

Estado del dispositivo:

este dispositivo no se pudo iniciar. (Código 10)

En la pestaña de Opciones avanzadoas se muestra en un cuadro grande a la izquierda la dirección de red que debe de tener, y a la derecha se muestra el Valor, pero este está vacio, supuestamente este campo debe de tener un valor y no debe de estar vacio. En la pestaña de Controlador le hago clic en actualizar el controlador, pero no tengo cd de Windows de instalacion, pero he sabido que no contiene ese controlador. Le hago clic en volver al controlador anterior y no sucede nada. Hago clic en Desinstalar y me dice: Error al desinstalar dispositivo. Puede que sea necesario para iniciar el equipo.

En propiedades de Minipuerto Wan (IP) #2 me muestra lo siguiente:

Tipo de dispositivo: Adaptadores de red

Fabricante: Micosoft

Ubicación: Desconocido

Estado del dispositivo

Este dispositivo no funciona correctamente porque Windows no puede cargar los controladores requeridos para dicho dispositivo. (Código 31)

Haga clic en Solucionador de problemas para resolverlos en este dispositico

-----

Hago clic en solucionador de problemas y no pasa nada y hago lo mismo que en el otro adaptador y me muestra lo mismo.

---

Anteriormente me conectava a internet pormedio del ethernet, pero debido a esto tuve que conectarme pormedio del USB.

---

Creo que estos errores se debieron al virus, pero espero que solo sea el controlador.

Si alguien sabe donde bajar esos controladores, gracias de antemano.

Y ya de una vez felicito a los administradores de esta pagina ya que ni microsoft logra poner un buen sistema de apoyo como éste para resolver las dudas de sus clientes.
 

alnitak

Ex-Admin
Miembro
#9
Tu antivirus ha llegado a borrar algúnos de los archivos que nombrabas arriba ?

Por ejemplo el Services.exe es un archivo de sistema de Windows si se encuentra en lña carpeta de sistema y no un virus, sin ese archivo tu sistema no puede funcionar correctamente, si no tienes ese archivo porque algún virus lo ha llegado a infectar y tu AV se lo ha cargado consigue una copia y pegala en la carpeta de sistema.

Si dispones de un CD de XP + SP2 (debe tener el SP2 ya que tu sistema lo tiene) colocalo en el Cd Rom y ejecuta el comando:

sfc /scannow
 

cablemen

Nuevo Miembro
Miembro
#10
No, mi antivirus escaneo el sistema y no detecto nada, voy a probar escaneandolos en linea con los links que me dieron más arriba.

No dispongo un CD de instalación de Windows, pero ví en estos foros que se puede hacer uno, así que intentare lo que esté a mi disposicion. Gracias
 

alnitak

Ex-Admin
Miembro
#11
No me has entendido creo, a ver si logro explicarme mejor.

En tu primer post comentabas que el antivirus te había pedido borrar el archivo services.exe:

En la web de symantec no encuentro un removal tool, Me pide que lo remueba manualmente borrando estos archivos siguientes:

Services.exe

Pskill.exe

B.bat

Tcpsvcs.exe

Good_client.exe.

B.bat
Y decias que no encontrabas esos archivos.

Pues, el archivo Services.exe si que debe existir porque hay un archivo de sistema de XP que tiene ese nombre y se encuentra en la carpeta C:\Windows\System32\

Se me hace entonces extaño que no encuentres ningún archivo con ese nombre y por eso te estoy sugiriendo que lo busques bien para ver si existe o no y si no existe que consigas una copia y lo pegues en la carpeta System32 y que después por las dudas de que el virus te haya borrado algún otro archivo de sistema restaures todos los archivos protegidos con el comando sfc /scannow.

Tambien te digo que si fuera mi sistema y ya que comentas que vas a crear tu propio CD de XP SP2 yo optaría por reinstalarlo virgencito y creo que sería lo mas sano.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie