Título: AYUDA urgente! infectado xP
Publicado por: x64core en 15 Noviembre 2011, 07:49 am
hola a todos
bueno rapidamente pido ayuda! :-\
creo que estoy infectado miren hice unas todas creo y estoy seguro que eso no es normal no?
en esta me ah abierto todas esas conexiones y como 10 mas que no se pueden mostrar por el largo de la pantalla
CREO que es nuevo
(http://img824.imageshack.us/img824/8225/84338000.png)
esta conexion ( la marcada ) me esta constantemente incrementando :P
(http://img560.imageshack.us/img560/5831/86747035.png)
la vdd no se mucho de redes y esto :P
y tambien algo sospechoso es que queria abrir el regedit y el msconfig y me salia el cuadrito de notificacion
SINO mal recuerdo sale firmado que es de microsoft! y ahora me sale desconocido!
por favor urgente gracias!
tambien el chrome me abre bastante conexiones!!!
(http://img845.imageshack.us/img845/4594/47643212.png)
y creo que por eso mismo el AV tambien!!!
Título: Re: AYUDA urgente! infectado xP
Publicado por: skapunky en 15 Noviembre 2011, 14:30 pm
Lo que te ocurre no es normal, ademas el puerto remoto es muy alto, una de dos o es una aplicación que tiene config ese puerto (tipo emule, juego online..) o es un malware. Lo mejor es un log del hijackthis para que podamos ver lo que se inicia en windows y los procesos activos en tu ordenador. Para descargar el hijackthis usa el siguiente enlace: - http://es.trendmicro.com/es/products/personal/free-tools-and-services/
Lo descargas y ejecutas, selecciona la opción de crear log y se te generará un archivo .txt con la información. La copias aquí y listo.
Título: Re: AYUDA urgente! infectado xP
Publicado por: Pablo Videla en 15 Noviembre 2011, 16:40 pm
Lo primero que haría es usar un firewall como COMODO FIREWALL
Título: Re: AYUDA urgente! infectado xP
Publicado por: x64core en 15 Noviembre 2011, 19:33 pm
hola gracias aqui esta el long creo que si un malware y no uso ningun juego ni ares ni emule nada de p2p ni juegos y estoy bajando el comodo :P EL LOG!! :-\ como lo veis? :P Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:29:53 p.m., on 15/11/2011
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\conhost.exe
C:\Windows\System32\taskmgr.exe
C:\Users\AdminHome\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\AdminHome\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\AdminHome\AppData\Local\Google\Chrome\Application\chrome.exe
C:\HDmain\Software\hijack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 122.72.12.88:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D13BC1E-8F54-4044-BC88-FBEB77FEAF82}: NameServer = 200.85.20.28 200.85.0.104
O23 - Service: @%SystemRoot%\system32\aelupsvc.dll,-1 (AeLookupSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe
O23 - Service: @%systemroot%\system32\appidsvc.dll,-100 (AppIDSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\appinfo.dll,-100 (Appinfo) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-204 (AudioEndpointBuilder) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-200 (Audiosrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\AxInstSV.dll,-103 (AxInstSV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\bdesvc.dll,-100 (BDESVC) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\bfe.dll,-1001 (BFE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\qmgr.dll,-1000 (BITS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\browser.dll,-100 (Browser) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\bthserv.dll,-101 (bthserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-11 (CertPropSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Program Files\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\defragsvc.dll,-101 (defragsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dhcpcore.dll,-100 (Dhcp) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\dnsapi.dll,-101 (Dnscache) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dps.dll,-500 (DPS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\ehome\ehrecvr.exe,-101 (ehRecvr) - Unknown owner - C:\Windows\ehome\ehRecvr.exe
O23 - Service: @%SystemRoot%\ehome\ehsched.exe,-101 (ehSched) - Unknown owner - C:\Windows\ehome\ehsched.exe
O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @comres.dll,-2450 (EventSystem) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fdPHost.dll,-100 (fdPHost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fdrespub.dll,-100 (FDResPub) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\FntCache.dll,-100 (FontCache) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\hidserv.dll,-101 (hidserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\kmsvc.dll,-6 (hkmsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\ListSvc.dll,-100 (HomeGroupListener) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\provsvc.dll,-100 (HomeGroupProvider) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Company - C:\Windows\system32\Hpservice.exe
O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\IPBusEnum.dll,-102 (IPBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\iphlpsvc.dll,-500 (iphlpsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @comres.dll,-2946 (KtmRm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lltdres.dll,-1 (lltdsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-100 (MMCSS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\FirewallAPI.dll,-23090 (MpsSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe
O23 - Service: @%SystemRoot%\system32\iscsidsc.dll,-5000 (MSiSCSI) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\Windows\system32\msiexec.exe
O23 - Service: @%SystemRoot%\system32\qagentrt.dll,-6 (napagent) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\netman.dll,-109 (Netman) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\netprofm.dll,-202 (netprofm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\nlasvc.dll,-1 (NlaSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\nsisvc.dll,-200 (nsi) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8004 (p2pimsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8006 (p2psvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pcasvc.dll,-1 (PcaSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\pla.dll,-500 (pla) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pnrpauto.dll,-8002 (PNRPAutoReg) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8000 (PNRPsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpo.dll,-100 (Power) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\profsvc.dll,-300 (ProfSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasauto.dll,-200 (RasAuto) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%Systemroot%\system32\rasmans.dll,-200 (RasMan) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%windir%\system32\RpcEpMap.dll,-1001 (RpcEptMapper) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\SCardSvr.dll,-1 (SCardSvr) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-13 (SCPolicySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Sens.dll,-200 (SENS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-12288 (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe
O23 - Service: @%SystemRoot%\system32\sppuinotify.dll,-103 (sppuinotify) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\ssdpsrv.dll,-100 (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sstpsvc.dll,-200 (SstpSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wiaservc.dll,-9 (StiSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sysmain.dll,-1000 (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\TabSvc.dll,-100 (TabletInputService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tapisrv.dll,-10100 (TapiSrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\themeservice.dll,-8192 (Themes) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-102 (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\trkwks.dll,-1 (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe
O23 - Service: @%systemroot%\system32\upnphost.dll,-213 (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dwm.exe,-2000 (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Program Files\Common Files\VMware\USB\vmware-usbarbitrator.exe
O23 - Service: VMware NAT Service - Unknown owner - C:\Windows\system32\vmnat.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe
O23 - Service: @%systemroot%\system32\wbiosrvc.dll,-100 (WbioSrvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wcncsvc.dll,-3 (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\WcsPlugInService.dll,-200 (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-502 (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-500 (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\webclnt.dll,-100 (WebClient) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wecsvc.dll,-200 (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wercplsupport.dll,-101 (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wsmsvc.dll,-101 (WinRM) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe
O23 - Service: @%SystemRoot%\system32\wpdbusenum.dll,-100 (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wscsvc.dll,-200 (wscsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\wuaueng.dll,-105 (wuauserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wudfsvc.dll,-1000 (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wwansvc.dll,-257 (WwanSvc) - Unknown owner - C:\Windows\system32\svchost.exe
--
End of file - 17791 bytes
Título: Re: AYUDA urgente! infectado xP
Publicado por: Pablo Videla en 15 Noviembre 2011, 19:52 pm
Estos me parecen raros Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\conhost.exe
www.virustotal.com subelos ahi
Título: Re: AYUDA urgente! infectado xP
Publicado por: skapunky en 15 Noviembre 2011, 20:52 pm
taskhost.exe --> Es el proceso del administrador de tareas de windows 7, en windows anteriores se llama diferente pero no es dañino.
Dwm.exe --> Desktop Windows Manager, se encarga de algunas cosillas del escritorio en windows vista/7. No es malo.
Lo que veo yo, y creo que es el problema es que hay muchos servicios activos, no estaría de mas pasar algún anti-rootkit, aquí te dejo el manual de uno de los que uso y funciona muy bien, se llama GMER:
Manual rapido (http://www.ehow.com/how_6102694_use-gmer-remove-rootkit.html)
(Esta en ingles pero es muy breve y practica la explicación, encontraras el programa. En resumen, borra lo que te salga en rojo en el gmer.)
Título: Re: AYUDA urgente! infectado xP
Publicado por: Pablo Videla en 15 Noviembre 2011, 20:54 pm
taskhost.exe --> Es el proceso del administrador de tareas de windows 7, en windows anteriores se llama diferente pero no es dañino.
Dwm.exe --> Desktop Windows Manager, se encarga de algunas cosillas del escritorio en windows vista/7. No es malo.
Lo que veo yo, y creo que es el problema es que hay muchos servicios activos, no estaría de mas pasar algún anti-rootkit, aquí te dejo el manual de uno de los que uso y funciona muy bien, se llama GMER:
Manual rapido (http://www.ehow.com/how_6102694_use-gmer-remove-rootkit.html)
(Esta en ingles pero es muy breve y practica la explicación, encontraras el programa. En resumen, borra lo que te salga en rojo en el gmer.)
Sorry, estoy acostumbrado a windows XP :-\
Título: Re: AYUDA urgente! infectado xP
Publicado por: x64core en 16 Noviembre 2011, 00:24 am
buenas, ejecute el anti rootkit analiso todo :P y no detecto nada :-\
y el tcpview me sigue mostrando muchas conexiones raras :-\
creo que tendre que formatear me hubiera gustado encontrado el malware :@
PD: Encontre el malware en la herramienta anti rootkit me salio un proceso en rojo llamado dllHost.exe pero e buscado informacion
y dice que es del sistema :P
PD: aun me sigue detectando muchas conexiones y tengo el comodo!
(http://img705.imageshack.us/img705/4729/virusyu.png)
Título: Re: AYUDA urgente! infectado xP
Publicado por: skapunky en 16 Noviembre 2011, 00:59 am
Mmmm muy raro, hombre el formateo si no tienes demasiados documentos para hacer backup es relativamente rápido, pero a veces hay cosas en esta vida que uno se las a de tomar de forma personal >:D :xD
Si todavia no has formateado, si encuentras ese archivo podrías subir una muestra aquí? Si has formateado ya no pasa nada. De todas formas sigo sospechando que hay algún problema con un rootkit o similar aunque gmer no suele fallar.
Título: Re: AYUDA urgente! infectado xP
Publicado por: x64core en 16 Noviembre 2011, 01:04 am
ok Skapunky ahorita estoy bajando varias herramientas para analizar y voy a hacer un analisis profundo y dentro de 3 horas encuentro nada me tocara formatear, aunque a mi tambien me gustaria la muestra de este maldito virus! que estoy seguro que tengo
Título: Re: AYUDA urgente! infectado xP
Publicado por: x64core en 16 Noviembre 2011, 01:43 am
aqui esta el maldito virus! http://www.mediafire.com/?dakybpnggkqyebd lo raro es que esta firmado de microsoft, me imagino que infecto el archivo, y estoy seguro que este es el principal deben haber otras partes en el disco EL SCAN y si es un troyano: Antivirus Version Last Update Result
AhnLab-V3 2011.11.15.01 2011.11.15 -
AntiVir 7.11.17.176 2011.11.15 -
Antiy-AVL 2.0.3.7 2011.11.15 -
Avast 6.0.1289.0 2011.11.15 -
AVG 10.0.0.1190 2011.11.16 -
BitDefender 7.2 2011.11.16 -
ByteHero 1.0.0.1 2011.11.14 Trojan.Win32.Heur.Gen
ClamAV 0.97.3.0 2011.11.15 -
Commtouch 5.3.2.6 2011.11.16 -
Comodo 10778 2011.11.14 -
DrWeb 5.0.2.03300 2011.11.16 -
Emsisoft 5.1.0.11 2011.11.16 -
eSafe 7.0.17.0 2011.11.15 -
eTrust-Vet 37.0.9568 2011.11.15 -
F-Prot 4.6.5.141 2011.11.16 -
F-Secure 9.0.16440.0 2011.11.15 -
Fortinet 4.3.370.0 2011.11.15 -
GData 22 2011.11.16 -
Ikarus T3.1.1.109.0 2011.11.15 -
Jiangmin 13.0.900 2011.11.15 -
K7AntiVirus 9.119.5466 2011.11.15 -
Kaspersky 9.0.0.837 2011.11.16 -
McAfee 5.400.0.1158 2011.11.16 -
McAfee-GW-Edition 2010.1D 2011.11.15 -
Microsoft 1.7801 2011.11.15 -
NOD32 6633 2011.11.15 -
Norman 6.07.13 2011.11.15 -
nProtect 2011-11-15.01 2011.11.15 -
Panda 10.0.3.5 2011.11.15 -
PCTools 8.0.0.5 2011.11.16 -
Prevx 3.0 2011.11.16 -
Rising 23.84.01.02 2011.11.15 -
Sophos 4.71.0 2011.11.16 -
SUPERAntiSpyware 4.40.0.1006 2011.11.15 -
Symantec 20111.2.0.82 2011.11.16 -
TheHacker 6.7.0.1.343 2011.11.15 -
TrendMicro 9.500.0.1008 2011.11.15 -
TrendMicro-HouseCall 9.500.0.1008 2011.11.16 -
VBA32 3.12.16.4 2011.11.15 -
VIPRE 11057 2011.11.15 -
ViRobot 2011.11.15.4774 2011.11.16 -
VirusBuster 14.1.65.0 2011.11.15 -
Título: Re: AYUDA urgente! infectado xP
Publicado por: Pablo Videla en 16 Noviembre 2011, 01:49 am
Cuidado que algunos AV pueden lanzar falsos positivos
Título: Re: AYUDA urgente! infectado xP
Publicado por: x64core en 16 Noviembre 2011, 01:57 am
si es cierto pero no se :P el malware bytes tambien me lo detecto como troyano :P
igual aun asi no estoy convencido como ah quedado mi pc :P
Título: Re: AYUDA urgente! infectado xP
Publicado por: Arcano. en 16 Noviembre 2011, 10:05 am
Buenas, No veo restos de malware en el log de Hijackthis, pero sí una línea que me resulta sospechosa: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 122.72.12.88:80 Indica que estás utilizando un proxy... De china. La pregunta siguiente es: ¿Has configurado tú ese proxy?. Por otro lado, me resulta curiosa tu afirmación: Encontre el malware en la herramienta anti rootkit me salio un proceso en rojo llamado dllHost.exe pero he buscado informacion
y dice que es del sistema El servicio es del sistema. Pero si GMER lo "ha pintado" de rojo, es sospechoso. De todas las veces que lo he utilizado, nunca se ha equivocado. Como digo, el servicio es válido, pero es muy probable que algún malware lo esté utilizando para su uso. En el mismo GMER podrías revisar la pestaña "Files" y comprobar si también te indica algún fichero como infectado. O bien, podrías bajarte Autoruns (http://download.sysinternals.com/Files/Autoruns.zip). Mediante " Options" filtrar por " Hide Microsoft and Windows Entries" y por " Verify Code Signatures". Realizar el escaneo, revisar el resultado y empezar por el fichero que, crees, es sospechoso. Mediante " Jump to" te redigirá al registro y podrás comprobar qué ejecutable está asociado. Por supuesto, la otra opción es formatear. Pero es menos divertido. Saludos.
Título: Re: AYUDA urgente! infectado xP
Publicado por: x64core en 16 Noviembre 2011, 17:54 pm
Hola :D Buenas,
No veo restos de malware en el log de Hijackthis, pero sí una línea que me resulta sospechosa:
Indica que estás utilizando un proxy... De china. La pregunta siguiente es: ¿Has configurado tú ese proxy?.
Por otro lado, me resulta curiosa tu afirmación:
El servicio es del sistema. Pero si GMER lo "ha pintado" de rojo, es sospechoso. De todas las veces que lo he utilizado, nunca se ha equivocado. Como digo, el servicio es válido, pero es muy probable que algún malware lo esté utilizando para su uso.
En el mismo GMER podrías revisar la pestaña "Files" y comprobar si también te indica algún fichero como infectado.
O bien, podrías bajarte Autoruns (http://download.sysinternals.com/Files/Autoruns.zip). Mediante "Options" filtrar por "Hide Microsoft and Windows Entries" y por "Verify Code Signatures". Realizar el escaneo, revisar el resultado y empezar por el fichero que, crees, es sospechoso. Mediante "Jump to" te redigirá al registro y podrás comprobar qué ejecutable está asociado.
Por supuesto, la otra opción es formatear. Pero es menos divertido.
Saludos.
Si habia configurado yo el proxy :P y si lo habia pintado de rojo cuando vi eso cerre el proceso :P luego empece a buscar informacion de virus que hacian eso y efectivamente eran rootkit y que utilizaban tambien el servicio svhost.exe :P scanee con panda, KIS, Avira , MB,superSpyscan, y encontraron varios bichos pero en mos documentos que desde el principio no quise eliminarlos porque salia que eran archivos mios :P pero me toco eliminarlos para segurarme de todo y formatear todo :P gracias a todos por vuestra ayuda :)
|