Ayuda con persistente bicho oculto

Pues entonces quizá no te quede otra cosa que el formateo...

¿Problemas con Windows Update?
http://tinyurl.com/9nud8
Windows Update issues?
http://tinyurl.com/dyb6k




"Pancho" escribió en el mensaje
news:

Tengo algún parásito en el sistema que me ha deshabilitado cuentas de
usuario, ha deshabilitado Búsqueda de Windows, Restauración del
Sistema,
infecta el svchost.exe, Explorer.exe, msconfig.exe, messenger.exe y
algunos
servicios no se pueden iniciar incluido el del Firewall, por lo que he
instalado el Zone Alarm pero lo hice después de darme cuenta que el de
Windows estaba abajo y ya se había infectado el sistema.



He limpiado el sistema ya incontables veces pero no tarda en volver a
infectarse pues estando sin procesos malignos visibles y aparentemente
libre
de cualquier parásito, me deshabilita la cuenta usual y otras dos
aunque es
menos frecuente y lo hace aún sin conexión al Internet.



He escaneado con los programas, Adaware, Spybot, CWShredder,
HijackThis, The
Cleaner, Sin Espías, un programa anti Root-Kit (Black Light) y
antivirus
NOD32, dos versiones del Avast, AVG, Kaspersky online, Panda Active
Scan, y
fué el Avast 4.5 que encontró el virus Win32:CTX en la carpeta
C:\WINDOWS\System32\Active Scan (Panda Online resultó infectado) y
tres
copias en la carpeta C:\System Volume Information (esperando ser
restaurado).



He eliminado y repuesto programas limpios del Explorer.exe,
svchost.exe,
msconfig.exe, he deshabilitado el Messenger pues no sé como
desinstalarlo,
he deshabilitado y eliminado algunos servicios sospechosos, todos los
programas de seguridad los he actualizado y he dejado el sistema
practicamanete antiséptico y cambiado contraseñas de usuarios, pero
aún hay
algo que se ha quedado pues sin conexión al Internet me sigue
deshabilitando
las cuentas de usuarios. El Explorer y el svchost subían al +/-95% y
+/-60%
del CPU sucesivamente y ahora ya no suben, se quedan en lo normal,
aunque el
Explorer ocasionalmente pide permiso para salir al Internet pero nada
gano
con renovarlo si enseguida se vuelve a infectar, debo dar con el
troyano
oculto pero nada me ha dado resultado.



Al principio después de eliminar por primera vez el svchost.exe, se
quedó el
sistema sin servicios pero al escanear con el HijackThis, la mayoría o
al
menos un buen número de los programas de servicios aparecían
infectados con
svchost.exe al final, pero todo eso parece haber quedado vencido y
solo me
queda el parásito oculto que me deshabilita las cuentas y me previene
de
usar System Restore, Búsqueda y algunos servicios.



Apreciaría consejos, recomendaciones, programas, etc. para no tener
que
formatear y evitarme la tediosa labor de reinstalar programas,
configuraciones, etc.



Espero su ayuda y disculpas por lo extenso del mensaje.

Te comento que aunque no es algo habitual se pudiera dar la circunstancia.
Hay constancia de que determinados rootkit y spyware aprovechándose de
vulnerabilidades en el fimware hardware podría adosarse a ellos. Con lo cual
cada vez que arranques tu máquina y se haga una lectura del hardw se volvería
a colar.

Lo mismos si es esta circunstancia formateas instalas y te vuelve a pasar lo
mismo. La solución es complicada porque implica analizar el hardw para
descartar esta posibilidad. De todas formas comentas que has pasado una
herramienta antirootkit pero no se si le cambiaste el nombre. Hazlo porque
muchos de ellos soportan procesos root y es posible que le estuviera
disfrazando al antirootkit la existencia del mismo. Pásale sino el
rookkitrevealer, pero cambiale antes el nombre. Si no también deberías
arrancar el sistema con algún sistema de arranque tipo windows PE, para
evitar que lanze el kernell actual y lanzar desde ahí los escaneos, para
buscar las firma de posibles aplicaciones malware.

Saludos

"José Gallardo" wrote:

Pues entonces quizá no te quede otra cosa que el formateo...

¿Problemas con Windows Update?
http://tinyurl.com/9nud8
Windows Update issues?
http://tinyurl.com/dyb6k




"Pancho" escribió en el mensaje
news:
>
> Tengo algún parásito en el sistema que me ha deshabilitado cuentas de
> usuario, ha deshabilitado Búsqueda de Windows, Restauración del
> Sistema,
> infecta el svchost.exe, Explorer.exe, msconfig.exe, messenger.exe y
> algunos
> servicios no se pueden iniciar incluido el del Firewall, por lo que he
> instalado el Zone Alarm pero lo hice después de darme cuenta que el de
> Windows estaba abajo y ya se había infectado el sistema.
>
>
>
> He limpiado el sistema ya incontables veces pero no tarda en volver a
> infectarse pues estando sin procesos malignos visibles y aparentemente
> libre
> de cualquier parásito, me deshabilita la cuenta usual y otras dos
> aunque es
> menos frecuente y lo hace aún sin conexión al Internet.
>
>
>
> He escaneado con los programas, Adaware, Spybot, CWShredder,
> HijackThis, The
> Cleaner, Sin Espías, un programa anti Root-Kit (Black Light) y
> antivirus
> NOD32, dos versiones del Avast, AVG, Kaspersky online, Panda Active
> Scan, y
> fué el Avast 4.5 que encontró el virus Win32:CTX en la carpeta
> C:\WINDOWS\System32\Active Scan (Panda Online resultó infectado) y
> tres
> copias en la carpeta C:\System Volume Information (esperando ser
> restaurado).
>
>
>
> He eliminado y repuesto programas limpios del Explorer.exe,
> svchost.exe,
> msconfig.exe, he deshabilitado el Messenger pues no sé como
> desinstalarlo,
> he deshabilitado y eliminado algunos servicios sospechosos, todos los
> programas de seguridad los he actualizado y he dejado el sistema
> practicamanete antiséptico y cambiado contraseñas de usuarios, pero
> aún hay
> algo que se ha quedado pues sin conexión al Internet me sigue
> deshabilitando
> las cuentas de usuarios. El Explorer y el svchost subían al +/-95% y
> +/-60%
> del CPU sucesivamente y ahora ya no suben, se quedan en lo normal,
> aunque el
> Explorer ocasionalmente pide permiso para salir al Internet pero nada
> gano
> con renovarlo si enseguida se vuelve a infectar, debo dar con el
> troyano
> oculto pero nada me ha dado resultado.
>
>
>
> Al principio después de eliminar por primera vez el svchost.exe, se
> quedó el
> sistema sin servicios pero al escanear con el HijackThis, la mayoría o
> al
> menos un buen número de los programas de servicios aparecían
> infectados con
> svchost.exe al final, pero todo eso parece haber quedado vencido y
> solo me
> queda el parásito oculto que me deshabilita las cuentas y me previene
> de
> usar System Restore, Búsqueda y algunos servicios.
>
>
>
> Apreciaría consejos, recomendaciones, programas, etc. para no tener
> que
> formatear y evitarme la tediosa labor de reinstalar programas,
> configuraciones, etc.
>
>
>
> Espero su ayuda y disculpas por lo extenso del mensaje.
>
>
>
>
>
>
>
>
>

Gracias por responder Juan Luis; Ya habia usado también el RootkitRevealer
pero no entiendo que debo hacer con el resultado, ¿será suficiente con
eliminar los resultados? Este es el resultado de un escaneo que salió
lleno de basura pero estaba navegando en ese rato y supongo que los
temporales de Internet ¿no representan problema? esos los elimino a diario
y solo aparecen los actuales en el reporte del RootKitRevealer. Los que me
intrigan son los de las dos primeras lineas pues indican actualizacion del
ZoneAlarm siendo que no hubo tal, ya habian aparecido antes en otro escaneo
con diferente hora y fecha, siendo ese el caso supongo que debo eliminar
esos valores, pero, ¿será suficiente con eso? si hay algun RootKit ¿como lo
puedo eliminar?

Agradezco tu valiosa ayuda.


"Juan Luis Rambla [MVP]"
escribió en el mensaje
news:

Te comento que aunque no es algo habitual se pudiera dar la circunstancia.
Hay constancia de que determinados rootkit y spyware aprovechándose de
vulnerabilidades en el fimware hardware podría adosarse a ellos. Con lo

cual

cada vez que arranques tu máquina y se haga una lectura del hardw se

volvería

a colar.

Lo mismos si es esta circunstancia formateas instalas y te vuelve a pasar

lo

mismo. La solución es complicada porque implica analizar el hardw para
descartar esta posibilidad. De todas formas comentas que has pasado una
herramienta antirootkit pero no se si le cambiaste el nombre. Hazlo porque
muchos de ellos soportan procesos root y es posible que le estuviera
disfrazando al antirootkit la existencia del mismo. Pásale sino el
rookkitrevealer, pero cambiale antes el nombre. Si no también deberías
arrancar el sistema con algún sistema de arranque tipo windows PE, para
evitar que lanze el kernell actual y lanzar desde ahí los escaneos, para
buscar las firma de posibles aplicaciones malware.

Saludos

"José Gallardo" wrote:

> Pues entonces quizá no te quede otra cosa que el formateo...
>
> ¿Problemas con Windows Update?
> http://tinyurl.com/9nud8
> Windows Update issues?
> http://tinyurl.com/dyb6k
>
>
>
>
> "Pancho" escribió en el mensaje
> news:
> >
> > Tengo algún parásito en el sistema que me ha deshabilitado cuentas de
> > usuario, ha deshabilitado Búsqueda de Windows, Restauración del
> > Sistema,
> > infecta el svchost.exe, Explorer.exe, msconfig.exe, messenger.exe y
> > algunos
> > servicios no se pueden iniciar incluido el del Firewall, por lo que he
> > instalado el Zone Alarm pero lo hice después de darme cuenta que el de
> > Windows estaba abajo y ya se había infectado el sistema.
> >
> >
> >
> > He limpiado el sistema ya incontables veces pero no tarda en volver a
> > infectarse pues estando sin procesos malignos visibles y aparentemente
> > libre
> > de cualquier parásito, me deshabilita la cuenta usual y otras dos
> > aunque es
> > menos frecuente y lo hace aún sin conexión al Internet.
> >
> >
> >
> > He escaneado con los programas, Adaware, Spybot, CWShredder,
> > HijackThis, The
> > Cleaner, Sin Espías, un programa anti Root-Kit (Black Light) y
> > antivirus
> > NOD32, dos versiones del Avast, AVG, Kaspersky online, Panda Active
> > Scan, y
> > fué el Avast 4.5 que encontró el virus Win32:CTX en la carpeta
> > C:\WINDOWS\System32\Active Scan (Panda Online resultó infectado) y
> > tres
> > copias en la carpeta C:\System Volume Information (esperando ser
> > restaurado).
> >
> >
> >
> > He eliminado y repuesto programas limpios del Explorer.exe,
> > svchost.exe,
> > msconfig.exe, he deshabilitado el Messenger pues no sé como
> > desinstalarlo,
> > he deshabilitado y eliminado algunos servicios sospechosos, todos los
> > programas de seguridad los he actualizado y he dejado el sistema
> > practicamanete antiséptico y cambiado contraseñas de usuarios, pero
> > aún hay
> > algo que se ha quedado pues sin conexión al Internet me sigue
> > deshabilitando
> > las cuentas de usuarios. El Explorer y el svchost subían al +/-95% y
> > +/-60%
> > del CPU sucesivamente y ahora ya no suben, se quedan en lo normal,
> > aunque el
> > Explorer ocasionalmente pide permiso para salir al Internet pero nada
> > gano
> > con renovarlo si enseguida se vuelve a infectar, debo dar con el
> > troyano
> > oculto pero nada me ha dado resultado.
> >
> >
> >
> > Al principio después de eliminar por primera vez el svchost.exe, se
> > quedó el
> > sistema sin servicios pero al escanear con el HijackThis, la mayoría o
> > al
> > menos un buen número de los programas de servicios aparecían
> > infectados con
> > svchost.exe al final, pero todo eso parece haber quedado vencido y
> > solo me
> > queda el parásito oculto que me deshabilita las cuentas y me previene
> > de
> > usar System Restore, Búsqueda y algunos servicios.
> >
> >
> >
> > Apreciaría consejos, recomendaciones, programas, etc. para no tener
> > que
> > formatear y evitarme la tediosa labor de reinstalar programas,
> > configuraciones, etc.
> >
> >
> >
> > Espero su ayuda y disculpas por lo extenso del mensaje.
> >
> >
> >
> >
> >
> >
> >
> >
> >
>
>
>

Este es el resultado del escaneo con el RootKitRevealer, agradeceré tus
instrucciones.

HKLM\SOFTWARE\Zone Labs\ZoneAlarm\LastAutoUpdate 21/3/2006 10:26 AM 4 bytes
Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Zone Labs\ZoneAlarm\LastManualUpdate 21/3/2006 10:26 AM 4
bytes Data mismatch between Windows API and raw hive data.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\0DUF8T63\0000053432_000000000000000277426[1].gif
21/3/2006 10:51 AM 14.54 KB Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\0DUF8T63\5point0[1].gif 21/3/2006 10:49 AM 484 bytes
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\0DUF8T63\CAM36729.aspx 21/3/2006 10:51 AM 5.70 KB
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\0DUF8T63\css[1].aspx 21/3/2006 10:51 AM 2.48 KB Hidden
from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\0DUF8T63\icon_err[1].gif 21/3/2006 10:51 AM 1.01 KB
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\0DUF8T63\mmcglobal[1].js 21/3/2006 10:49 AM 6.59 KB
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\0DUF8T63\print[1].gif 21/3/2006 10:49 AM 574 bytes
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\0DUF8T63\SiteRecruit_PageConfiguration_2943mt6[2].js
21/3/2006 10:49 AM 9.15 KB Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\0DUF8T63\WEBgray1033[1].0 21/3/2006 10:51 AM 8.68 KB
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\C1EBK1QN\arrow_px_up[1].gif 21/3/2006 10:49 AM 53 bytes
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\C1EBK1QN\CA3EY5VV.aspx 21/3/2006 10:51 AM 4.42 KB
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\C1EBK1QN\CA8PA5XQ.aspx 21/3/2006 10:51 AM 4.38 KB
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\C1EBK1QN\CAVUAPFV.aspx 21/3/2006 10:49 AM 28.32 KB
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\C1EBK1QN\favs[1].gif 21/3/2006 10:49 AM 567 bytes
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\C1EBK1QN\flashlib[1].js 21/3/2006 10:49 AM 610 bytes
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\C1EBK1QN\ic028[1].gif 21/3/2006 10:51 AM 661 bytes
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\C1EBK1QN\ms_masthead_ltr[1].gif 21/3/2006 10:51 AM 947
bytes Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\C1EBK1QN\ql[1].css 21/3/2006 10:49 AM 1.46 KB Hidden
from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\C1EBK1QN\ql[1].js 21/3/2006 10:49 AM 5.91 KB Hidden
from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\IL0NQJUF\broker[2].js 21/3/2006 10:49 AM 38.88 KB
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\IL0NQJUF\broker[3].js 21/3/2006 10:51 AM 117 bytes
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\IL0NQJUF\EventDetails[2].css 21/3/2006 10:49 AM 342
bytes Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\IL0NQJUF\PPPrimary[1].0 21/3/2006 10:51 AM 12.58 KB
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\O1GXMVGF\0000053432_000000000000000283115[1].swf
21/3/2006 10:49 AM 8.70 KB Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\O1GXMVGF\1ptrans[1].gif 21/3/2006 10:51 AM 44 bytes
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\O1GXMVGF\arrowLTR[1].gif 21/3/2006 10:49 AM 821 bytes
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\O1GXMVGF\css[1].aspx 21/3/2006 10:51 AM 27 bytes Hidden
from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\O1GXMVGF\js[1].aspx 21/3/2006 10:49 AM 17.32 KB Hidden
from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\O1GXMVGF\listener[1].aspx 21/3/2006 10:49 AM 0 bytes
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\O1GXMVGF\mail[1].gif 21/3/2006 10:49 AM 1010 bytes
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\O1GXMVGF\ms_masthead_ltr[1].gif 21/3/2006 10:49 AM 947
bytes Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\O1GXMVGF\ql[1].gif 21/3/2006 10:49 AM 51 bytes Hidden
from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de
Internet\Content.IE5\O1GXMVGF\StyleSheet1[2].css 21/3/2006 10:51 AM 5.17 KB
Hidden from Windows API.
C:\Documents and Settings\Usuario\Configuración local\Temp\~DF6D02.tmp
21/3/2006 10:39 AM 16.00 KB Hidden from

Pancho escribió:

Tengo algún parásito en el sistema que me ha deshabilitado cuentas de
usuario, ha deshabilitado Búsqueda de Windows, Restauración del Sistema,
infecta el svchost.exe, Explorer.exe, msconfig.exe, messenger.exe y algunos
servicios no se pueden iniciar incluido el del Firewall, por lo que he
instalado el Zone Alarm pero lo hice después de darme cuenta que el de
Windows estaba abajo y ya se había infectado el sistema.



He limpiado el sistema ya incontables veces pero no tarda en volver a
infectarse pues estando sin procesos malignos visibles y aparentemente libre
de cualquier parásito, me deshabilita la cuenta usual y otras dos aunque es
menos frecuente y lo hace aún sin conexión al Internet.



He escaneado con los programas, Adaware, Spybot, CWShredder, HijackThis, The
Cleaner, Sin Espías, un programa anti Root-Kit (Black Light) y antivirus
NOD32, dos versiones del Avast, AVG, Kaspersky online, Panda Active Scan, y
fué el Avast 4.5 que encontró el virus Win32:CTX en la carpeta
C:\WINDOWS\System32\Active Scan (Panda Online resultó infectado) y tres
copias en la carpeta C:\System Volume Information (esperando ser
restaurado).



He eliminado y repuesto programas limpios del Explorer.exe, svchost.exe,
msconfig.exe, he deshabilitado el Messenger pues no sé como desinstalarlo,
he deshabilitado y eliminado algunos servicios sospechosos, todos los
programas de seguridad los he actualizado y he dejado el sistema
practicamanete antiséptico y cambiado contraseñas de usuarios, pero aún hay
algo que se ha quedado pues sin conexión al Internet me sigue deshabilitando
las cuentas de usuarios. El Explorer y el svchost subían al +/-95% y +/-60%
del CPU sucesivamente y ahora ya no suben, se quedan en lo normal, aunque el
Explorer ocasionalmente pide permiso para salir al Internet pero nada gano
con renovarlo si enseguida se vuelve a infectar, debo dar con el troyano
oculto pero nada me ha dado resultado.



Al principio después de eliminar por primera vez el svchost.exe, se quedó el
sistema sin servicios pero al escanear con el HijackThis, la mayoría o al
menos un buen número de los programas de servicios aparecían infectados con
svchost.exe al final, pero todo eso parece haber quedado vencido y solo me
queda el parásito oculto que me deshabilita las cuentas y me previene de
usar System Restore, Búsqueda y algunos servicios.



Apreciaría consejos, recomendaciones, programas, etc. para no tener que
formatear y evitarme la tediosa labor de reinstalar programas,
configuraciones, etc.



Espero su ayuda y disculpas por lo extenso del mensaje.

baja este pequeño programa antivirus Troyan explorer se encuentra en esta dirección y es gratuito www.troyan.tk y mira a ver si te resuelve tu problema te lo recomiendo