wvsvc.exe y algo mas.... :(

Estado
Cerrado para nuevas respuestas.

Domin_20d

Nuevo Miembro
Miembro
Hola amigos, he estado leyendo en el foro y he visto que entre otras cosas tengo un troyano (wvsvc.exe) y algúna otra cosa mas, y me gustaría que me ayudaseis a eliminarla.

Soy un poco novatilllo, así que espero no tener que preguntar mucho... :eek:

Os dejo el Log del Hisjackthins. (por cierto el proceso wvsvc.exe no esta actico porque cuando reinicio en el administrador de tareas leo seleciono y le doy a terminar, pero veo que no hace nada.....pero siempre que inicio esta activo!!)

Muchas gracias por todo!!!

Logfile of HijackThis v1.99.1

Scan saved at 10:05:41, on 22/04/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

C:\WINDOWS\System32\hphmon04.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PaSSrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

C:\Archivos de programa\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PsImSvc.exe

C:\WINDOWS\System32\ScsiAccess.EXE

C:\WINDOWS\System32\HPHipm11.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\WebProxy.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Upgrader.exe

C:\Archivos de programa\eMule2x\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\20D\Configuración local\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Starting up] wvsvc.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe

O4 - HKLM\..\Run: [HPHUPD04] "C:\Archivos de programa\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PasSrv.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Starting up] wvsvc.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: KODAK Software Updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1113421753457

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Archivos de programa\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Archivos de programa\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PsImSvc.exe

O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
 

Caito

Ex- Mod
Miembro
Si no sabes cómo hacer algúnos de los procedimientos mira esto:Manual pasos a seguir para el uso HijackThis

Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack

Por favor toma nota de estas indicaciones :

Baja este programa:

disk cleaner

Disk Cleaner

Y el AdAware Se :

Ad-aware SE Personal

Desconéctate físicamente de Internet (cables,modem)

Desactiva Restaurar Sistema

Reinicia en Modo seguro

Haz que se vean todos los archivos.

Termina estos procesos(ctrl+alt+del):

wvsvc.exe

Cierra todas las aplicaciones

Lanza el Hijack

Scan y luego Fix a estas:

O4 - HKLM\..\Run: [Starting up] wvsvc.exe

O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe

O4 - HKCU\..\Run: [Starting up] wvsvc.exe

Cierra el Hijack.

Busca estos archivos y los eliminas:

wvsvc.exe

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se actualizado al 20/04/05

Reinicia normal, conecta Internet y pega un nuevo log

Saludos

Caito
 

Domin_20d

Nuevo Miembro
Miembro
Antes de nada me gustaría agradecer a todos aquellos que ayudais a personas como yo, a las cuales estos temas nos desbordan, y sin amigos como vosotros no seríamos capaces de desacernos de estos "incordios"....Muchas gracias!!

He seguido las instrucciones concienciudamente, y ahora el dichoso wvsvc.exe no aprarece. Pero estoy un poco mosca porque me aparecen conexiones activas cuando no estoy conectado (antes del problema no había ninguna si no estaba conectado). No se como puedo subir una imagen al post sin que sea de internet, así que lo cuento: Inicio/ejecutar/cmd/netstat y tengo entre 1 y 9 conexiones (por ejemplo:

Proto:TCP Direccion local:garcia-y9x3j7g7:1161

Direccion remota:75.135.ibercom.com:http Estado:establisher)

Decidme si es normal y como lo puedo solucionar!!

Además tengo un par de dudas:

1)como entra el dichoso wvsvc.exe? Me ha podido entrar en el Office? Instale uno nuevo y no se si sera por esto o se cuela a traves de internet....

2)el cortafuegos del PAnda Internet Security me da continuos avisos de intento de conexión de C/windows/system32/svchost.exe Segun he leido no es malo...debo dejarlo conectarse siempre?

De nuevo gracias y espero estar limpio. Ahi va mi nuevo Log:

Logfile of HijackThis v1.99.1

Scan saved at 11:48:07, on 23/04/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PaSSrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

C:\WINDOWS\System32\hphmon04.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

C:\Archivos de programa\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PsImSvc.exe

C:\WINDOWS\System32\ScsiAccess.EXE

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE

C:\WINDOWS\System32\HPHipm11.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\WebProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Limpiar\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe

O4 - HKLM\..\Run: [HPHUPD04] "C:\Archivos de programa\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PasSrv.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: KODAK Software Updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1113421753457

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Archivos de programa\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Archivos de programa\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PsImSvc.exe

O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
 

Caito

Ex- Mod
Miembro
Lo veo limpio xDD

Los spiwares te pueden entrar tanto por descargar programas,seriales, navegar por sitios dudosos,etc; en tu caso no creo que haya sido por lo del Office.

Además se valen de muchas vulnerabilidades del IE, por eso conviene usarlo poco , mejor Opera o Firevox.

saludos

Caito
 
A

Arwing

Guest
Hola, tu log está limpio. El wvsvc.exe corresponde al gusano RBOT.QQ (http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_RBOT.QQ) y se distribuye en redes compartidas y por vulnerabilidades en el sistema, así que mantén actualizado tu sistema y bien configurado tu Firewall.

Las conexiones que mencionas, si no tienes el navegador abierto ni ningún programa relacionado a esa dirección que intente actualizarse ni nada por el estilo, entonces no es de mucho fiar. Yo diría que bloquearas la conexión a esa dirección con el Firewall. Revisa en Conexiones del Panel de Control que no tengas más de las que debes de tener para conectarte a Internet, etc.

Para el svchost.exe, si quiere conectarse a Internet permítelo, pero si la conexión viene desde afuera entonces bloquéalo. Es decir, permite el tráfico saliente pero no el entrante.

Arwing
 
Estado
Cerrado para nuevas respuestas.
Arriba Pie