Problema con troyano...o algo

Archivado
Bueno, el caso es que, no se como, pero tengo metido algo que no soy capaz de eliminar. El caso es que formatee ayer porque ya iba haciendo falta. Hizo ya algun tiempo que me di cuenta que no podia cambiar la pagina de inicio del IE, habiendo una fija de freewebportal.com.

Bueno, el caso es que ni formateando se ha ido, nada mas tener el XP rulando me voy al IE a ver si esta y si, ahi esta. El caso es que por lo visto este troyano o lo que sea hace, primero que no pueda cambiar la pagina de inicio (esto dentro de lo que cabe me da un poco igual, ya que uso Mozilla), pero es que ademas hay programas que no me deja instalar (desaparece el instalador cuando se esta ejecutando y curiosamente solo me ha pasado con el Ad-Aware y el Spybot S&D) y cuando le da me intenta cerrar el navegador, sea cual sea.

Tambien me abre cuando le da la gana una ventana del IE con la web 35mb.com.

He pasado el Ad-Aware hace un rato y lo que me ha quitado no ha sido lo que me esta causando el problema.

¿Alguien lo ha tenido y ha sabido como eliminarlo?

Acabo de intentar bajarme el programa Hi-jackthis, y nada mas buscarlo en Google me queria cerrar el Mozilla. No me deja instalarlo tampoco, como me pasa con los que he dicho antes, desaparece el instalador. Por lo que he leido cuando el navegador muestra palabras relacionadas intenta cerrar lo que sea (que listo el jodio [+risas] ). Tambien me abre un proceso llamado iexplore.exe.

A ver si me podeis echar una mano porque es una jodienda.

Edito: he conseguido hacer un scan con el Hijackthis y me ha dado esto:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:55:24, on 23/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\spm\spmd.exe
C:\Archivos de programa\NetLimiter\NetLimiter.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe
C:\Archivos de programa\Archivos comunes\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.freewebportal.net/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NetLimiter] C:\Archivos de programa\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [Windows Update Service] C:\DOCUME~1\NokYoL0\CONFIG~1\Temp\IXP000.TMP\svchost.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Archivos de programa\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Archivos de programa\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\iexplorer.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - [url]http://favorites.live.com/quickadd.aspx[/url]
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195773826281[/url]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [url]http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195775482312[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SPM License Server (spmd) - mental images GmbH - C:\spm\spmd.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Acronis\Fomatik\TrueImageTryStartService.exe

--
End of file - 8036 bytes


A ver si sirve para algo.
¿Nadie sabe nada?, es que cada X tiempo se me abre una ventana, y si tengo algo en pantalla completa se nota, si es un juego me lo minimiza, y si es un juego tipo Gears of Wars, que hacen que tarde el PC en responder cuando se minimiza (al menos en mi maquina) ya ni os digo.

¿Nadie ha tenido esto que he dicho en el anterior mensaje?.

Saludos.
Inicio - ejecutar - msconfig - Pestaña general - Inicio selectivo - Marcas SOLO "cargar servicios de sistema".

Reincias, f5 para prueba de fallos, y desde ahí ya pasas los antivirus online/programas correspondientes
Creo que tienes W32.Lorsis.Worm.

Normalmente se propaga por kazaa.

Se copia en C:\Windows\System\iexplorer.exe. Donde se supone que no tiene que estar, claro.

Además es jodido porque te borra lineas de registro del sistema.

si no tienes un buen antivirus pillate NOD32 por ejemplo y antes le pasas kaspersky online.

Una vez con todo pasale en modo seguro. Limpia carpetas temporales, apaga la restauración, limpia el registro. Y una vez limpio el sistema vuelve a pasarle todo en modo normal por si acaso.
Este es tu problema:
O4 - HKLM\..\Run: [Windows Update Service] C:\DOCUME~1\NokYoL0\CONFIG~1\Temp\IXP000.TMP\svchost.exe
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\iexplorer.exe

Dale un repaso con el KAV Online como te han dicho pero desde el modo seguro.
Gracias, probare a ver que tal, pero he estado mas de 1 año sin formatear y sin ningun tipo de antivirus, solo el firewall del service pack 2 y nunca me ha entrado nada de nada.

Tampoco uso el Kazaa, osea que por ahi si que no ha podido entrar nada, y el caso es que esto de que se abra la ventana del explorer cada X tiempo pasa justo desde que termine de formatear e instalar windows.

El CD de Windows que tengo tampoco puede ser porque siempre uso este CD cuando formateo y nunca pasa nada.
5 respuestas
Archivado
Volver a General