FORO CERRADO HASTA 2009
Más información en http://www.faqoff.org/foro/aqui-vp10984.html . Síguenos en www.blogoff.es
 
FAQCómo funciona el foro   BuscarBuscar   MiembrosMiembros   Grupos de UsuariosGrupos de Usuarios   RegistrarseRegistrarse
FAQ ¿Qué es RSS? PerfilPerfil   Entre para ver sus mensajes privadosEntre para ver sus mensajes privados   LoginLogin 

Navegar por Internet NO - Correo Electrónico SI

 
Este foro está cerrado y no puede publicar, responder o editar temas   Este tema está cerrado y no puede editar mensajes o responder    Foros de discusión -> Seguridad en tu PC. Problemas de virus y similares.
Ver tema anterior :: Ver tema siguiente  
Autor Mensaje
peio



Registrado: 08 Dic 2006
Mensajes: 21
MensajePublicado: Jue Oct 04, 2007 06:55 am    Asunto: Navegar por Internet NO - Correo Electrónico SI Responder citando
Hola, os cuento la situación en la que me encontré el ordenador de un amigo, las cosas que he hecho y pido ayuda para ver por donde avanzar.

Ordenador: Dell Dimension 4600. Windows XP Home Edition con SP2 instalado y actualizaciones automáticas activadas.
Me paso por casa del amigo que me había llamado porque tenía problemas con el pc y me encuentro:

En la barra de tareas al lado del reloj, sale un icono 'muy similar' al icono rojo de alerta de seguridad de windows que dice en ingles 'que ha detectado malware y que pulse aqui para más detalle'. El icono cambia al interrogante azul de la ayuda de Windows. El caso que al pulsar te dirigía a una página de virusprotectpro.

Me encuentro que el pc, una vez que abres el navegador (Internet Explorer) y navegando un ratito, salta un pantallazo azul de dump de memoria (la 'clásica' pantalla azul de windows) diciendo que hay algún error con el USB_CORE_DRIVER. He de decir que el modem de acceso a internet es un modem usb 'Atlanta'.

Hablo con el amigo y me comenta que ha hecho clik en alguna web de esas que dicen:¿quieres saber si estas infectado? Pulsa aquí

Con estos síntomas, parece ser que apunta a la intrusión en el equipo de todo tipo de 'bichos malos'. Realizo las siguientes acciones:

Instalo SpyBoot Search & Destroy y con el ordenador a prueba de fallos me elimina 5 bichos
Instalo NOD32 y tras un escaneo en profundidad me elimina 50 bichos y me dice que hay 3 cosas que reporta a ESET
Instalo Mozilla Firefox por si es problema de algún daño en Windows/Internet Explorer. Pruebo a navegar y pasado un ratito, mismo problema (aunque en este caso el dump de memoria era distinto). Tengo dos ficheritos de esos del dump de memoria que podría proporcionar si me decis el canal para hacerlo.

A día de hoy, el NOD32 no me detecta nada, el icono ese de la barra de tareas desapareció, pero sigue con los problemas de la navegación, ojo si se accede a correo electrónico con Outlook express (envío y recepción).

He instalado HijackThis y aquí os dejo el resultado del escaneo para ver si me podéis echar una mano. He de decir que hasta el lunes de la semana que viene no volveré a estar con el amigo (vive en Bilbao y yo en Pamplona), por lo que si me dais alguna acción a realizar no podré llevarla a cabo hasta el lunes y reportar resultados más tarde.

Un saludo y gracias

Peio

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:59:01, on 01/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Dell\Media Experience\PCMService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Dell AIO Printer A920\dlbkbmgr.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Dell AIO Printer A920\dlbkbmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/es/esp/gen/defa ult.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elmundo.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/es/esp/gen/defa ult.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Archivos de programa\Dell AIO Printer A920\dlbkbmgr.exe"
O4 - HKLM\..\Run: [UserFaultCheck] C:\WINDOWS\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DefensaAntiMalware] "C:\Archivos de programa\DefensaAntiMalware\pgs.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_u nicode.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/ca bs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CEDD36A-82DD-46E8-ADB1-2D39115F73C2}: NameServer = 192.168.0.1,80.58.32.33
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00BCDFB.dat
O22 - SharedTaskScheduler: astronomically - {fedff4ae-1302-4b8a-bda9-43b9f67b9749} - C:\WINDOWS\system32\guxmhcd.dll (file missing)
O23 - Service: F-Secure Automatic Update (BackWeb Client - 7681197) - Unknown owner - C:\ARCHIV~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE (file

missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32

\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

--
End of file - 6286 bytes
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor MSN Messenger
Kids



Registrado: 01 Mar 2005
Mensajes: 1960
MensajePublicado: Jue Oct 04, 2007 17:25 pm    Asunto: Responder citando
Recuerda que es muy importante pasar los antispywares con el PC en modo a prueba de fallos.

Arranca el HijackThis así y selecciona las siguientes entradas:

O3 - Toolbar: (no name) - {07AA283A-43D7-4CBE-A064-32A21112D94D} - (no file)
O4 - HKCU\..\Run: [DefensaAntiMalware] "C:\Archivos de programa\DefensaAntiMalware\pgs.exe" /min
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00BCDFB.dat
Unknown
O22 - SharedTaskScheduler: astronomically - {fedff4ae-1302-4b8a-bda9-43b9f67b9749} - C:\WINDOWS\system32\guxmhcd.dll (file missing)

Y click en Fix Checked. A ver qué tal.
_________________
La suerte es lo que ocurre cuando la preparación se encuentra con la oportunidad
Volver arriba
Ver perfil de usuario Enviar mensaje privado
peio



Registrado: 08 Dic 2006
Mensajes: 21
MensajePublicado: Mar Oct 09, 2007 07:03 am    Asunto: Responder citando
Primera actuación:

Navegando por foros veo que el cablemodem Scientific Atlantan dpc2100 webstar da más problemas que alegrías y proboca con frecuenci el famoso pantallazo azul de windows cuando te conectas a él vía USB.

Primera solución: quitar el usb y poner un cable de red. Ayer lo dejé funcionando. Si todo va ok, la semana que viene comenzará con la limpieza del HJack

Saludos y gracias

Peio
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor MSN Messenger
Mostrar mensajes de anteriores:   
Este foro está cerrado y no puede publicar, responder o editar temas   Este tema está cerrado y no puede editar mensajes o responder    Foros de discusión -> Seguridad en tu PC. Problemas de virus y similares. Todas las horas son GMT + 1 Hora
Página 1 de 1

 
Cambiar a:  
Puede publicar nuevos temas en este foro
Puede responder a temas en este foro
No puede editar sus mensajes en este foro
No puede borrar sus mensajes en este foro
No puede votar en encuestas en este foro


Powered by phpBB © 2001, 2005 phpBB Group

Anti Bot Question MOD - phpBB MOD against Spam Bots
Registros bloqueados / posts: 950 / 1