Mensajes

hola,espero que sea el subforo adecuado

hace un tiempo,estaba con unos amigos en mi casa,pasando el rato y demás,a lo que importa,cuando me doy cuenta uno de ellos estaba en mi ordenador descargando un montonazo de cosas,no me daría mucho más si no fuera porque al rato apareció y me dijo que la había cagao:

resumiendo:el tio se metió en una página porno y se quiso bajar cosas,cómo lógicamente es de pago,intento meter usuarios/contraseñas a ver si sonaba la flauta,pero despúes de unos cuantos intentos le salió un aviso de que la ip se había apuntao y se tomarían medidas (aquí fue cuando me vino a avisar)

yo no sé mucho más de informática aparte de lo normal,pero buscando por ahí,he leído cosas de hacking,aunque yo me creo su historia y no le veo capaz de hacer nada de eso

alguien sabe algo de temas legales?algún consejo?(luego yo les mandé un e-mail pero no me respondieron,por cierto la web no es de mi país),pasará algo o si la web no sufrió nada (ni descargó nada) no pasa nada?

gracias y saludos

leyendo un poco sobre el tema y teniendo en cuenta que la infección proviene de una web (y no de un ataque o archivo infectado) ,cuáles pueden ser las consecuencias?

hola

bueno,oy un poco más animado,enciendo el pc para ver si puedo hacer algo con el svchost,y resulta que me vuelve a saltar lo del xp smart security ,volveré a intentarlo

respecto al otro tema,minar el svchost,me salió el mensaje de reinicio en 60 segundos,pero tras reiniciarse seguía llí,así no sirvió

winroot:no encuentra el archivo por ninguna de las 2 opciones

resumiendo:que tiene mala pinta.no?

de todas formas muchas gracias,seguiré en ello

pero el mongxa con el msconfig no puedo cerrarlo,ni con task manager ni con hjt 

para el svchost estoy en ello:
y el svchost analycer bien (me detecta entradas malas),pero ahora estoy con su herramienta el task manager y estoy pegándome con él
ya os cuento

edito:el svchost que ocupa el 100% está en la carpeta correcta (system32) y la herramienta  te saca sus datos,a primera vista no parece un archivo corrupto,qué hago?me lo cargo igual?y si fastidio algo porque es legal?

log de hjt,qué decís?:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:35, on 23/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\csrss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\Ati2evxx.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS.0\system32\svchost.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS.0\SOUNDMAN.EXE
C:\Archivos de programa\Winamp\winampa.exe
C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Archivos de programa\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\Winamp Remote\bin\OrbTray.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS.0\system32\tcpsvcs.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\wdfmgr.exe
C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS.0\system32\wuauclt.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS.0\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Archivos de programa\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Veoh Video Compass - {52836EB0-631A-47B1-94A6-61F9D9112DAE} - C:\Archivos de programa\Veoh Networks\Veoh Video Compass\SearchRecsPlugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Archivos de programa\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SMSTray] C:\Archivos de programa\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Archivos de programa\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Archivos de programa\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Orb] "C:\Archivos de programa\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [VeohPlugin] "C:\Archivos de programa\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: monxga32.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows.0\system32\nwprovau.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.0\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

--
End of file - 8417 bytes


tengo un montón de cosas que tengo que borrar:ares,algo de una barra de winamp,juegos y demás

le pasé el spydllremover,pero supuestamente no detecta nada raro

el tema es que sigo con el dichoso svchost al 100%

a ver,le pasé el svchost anlyzer y me dice que tengo alguno de los procesos svchost que dan problemas,le paso la herramienta y me clasifica los procesos según potencial peligrosidad,pero va en función de usuarios y demás,qué hago?

por cierto ahora le paso el hjt y lo pego

bueno,parece ser que he conseguido deshacerme del xp smart security,me dió problemas,pero ahora estoy en modo normal y no hace acto de presencia veremos a ver

ahora me pongo con lo de svchost que ocupa el 100%,los pasos serían estos?
-antirootkit (que comenta novlucker) y las otras propuestas por skapunky (vale más que sobre  )
-saco y os pego otro log de hjt
-me seguís comentando

por cierto,lo que se comentaba al principio de ese mongxa.exe,qué os parece?

gracias por la yuda gente,me estáis sacando del aprieto

gracias skapunky,a ver cuando tengo tiempo y me pongo con ello,porque me desespera,supuestamente sigo ese tuto y luego ya podría ejecutar malware,no?

y sí,ya lo pensé,de hecho tengo copia de seguridad de todos los documentos,el resto se puede ir al garete,como siga así

el tema está en no llegar al engorro del formateo (además nunca lo hice),otras veces conseguía eliminar los problemas,pero de esta no me libro

gracias

bueno,esto es la releche
hoy al llegar a casa y ponerme a ver si hoy sacaba algo,resulta que se me ha instalado el xp smart security 2010,y ahora no puedo ejecutar ningún tipo de herramienta ni siquiera en modo seguro!

el avira me avisa que es un troyano,pero no puedo hacer nada

total,que lo llevo a una tienda,que hagan lo que tengan que hacer y fuera
ya me cansé,necesito el pc

gracias a todos,de verdad,ya os cuento,porque va pa largo ya que resulta que en las tiendas están bastante ocupaos ,jaja,en fin
por cierto no es portátil,es de sobremesa

con lo de buscar no encuentra nada,y supuestamente tengo activado lo de mostrar todos los archivos,pero la dichosa carpeta documents and settings no la encuentro,tengo una partición,pero ahora que me fijo no sé dónde está

si me sigues echando una mano te lo agradezo,tú o cualquiera saludos