gracias por la ayuda, con los procedimientos anteriores ya los realice todos y el nuevo logs que se genero es:
Logfile of HijackThis v1.99.1
Scan saved at 10:27:24 a.m., on 31/01/2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cba\pds.exe
C:\WINDOWS\System32\ismserv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Archivos de programa\PC Tools AntiVirus\PCTAVSvc.exe
C:\Archivos de programa\RemotelyAnywhere\RaMaint.exe
C:\Archivos de programa\RemotelyAnywhere\RemotelyAnywhere.exe
C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
C:\Archivos de programa\Spyware Doctor\pctsSvc.exe
C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\ams_ii\iao.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\RemotelyAnywhere\RAGui.exe
C:\Archivos de programa\PC Tools AntiVirus\PCTAV.exe
C:\Archivos de programa\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\TechSmith\SnagIt 8\SnagIt32.exe
C:\Archivos de programa\AnalogX\Proxy\proxy.exe
C:\Archivos de programa\TechSmith\SnagIt 8\TSCHelp.exe
C:\Archivos de programa\PC Registry Cleaner\PCRegistryCleaner.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.2:21;gopher=192.168.0.2:6588;http=192.168.0.2:6588;https=192.168.0.2:6588
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemotelyAnywhere GUI] "C:\Archivos de programa\RemotelyAnywhere\RAGui.exe"
O4 - HKLM\..\Run: [FortiClient] "C:\Archivos de programa\Fortinet\FortiClient\FortiClient.exe" /minimize
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SAV\vptray.exe
O4 - HKLM\..\Run: [PCTAVApp] "C:\Archivos de programa\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISTray] "C:\Archivos de programa\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ShutdownEventCheck] %systemroot%\system32\dumprep 0 -s
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [OE_WMPWMPCodec_wmvax] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\wmvds32.ax"
O4 - HKLM\..\RunOnce: [OE_WMPWMPCodec_msscrnax] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\msscds32.ax"
O4 - HKLM\..\RunOnce: [OE_WMPWMPCodec_wmv8ax] C:\WINDOWS\system32\regsvr32 /s "C:\WINDOWS\system32\wmv8ds32.ax"
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\03HB72I0\ELISTARA.10022008[1].EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Startup: Proxy.lnk = C:\Archivos de programa\AnalogX\Proxy\proxy.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SnagIt 8.lnk = C:\Archivos de programa\TechSmith\SnagIt 8\SnagIt32.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\Office10\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
http://www.update.microsoft.com/microsoftu...b?1201625414765O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = control.servidor.com.sv
O17 - HKLM\Software\..\Telephony: DomainName = control.servidor.com.sv
O17 - HKLM\System\CCS\Services\Tcpip\..\{9521597F-80D3-41B6-BB6E-8E7AA1E76D27}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5EBBB0E-2867-49D7-AF67-84F77E44AE5D}: NameServer = 168.243.165.225,201.247.155.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = control.servidor.com.sv
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: Domain = control.servidor.com.sv
O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel Alert Handler - Intel® Corporation - C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - Intel® Corporation - C:\WINDOWS\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NetOp Helper ver. 7.65 (2004097) (NetOp Host for NT Service) - Danware Data A/S - C:\Archivos de programa\Danware Data\NetOp School\TEACHER\NHOSTSVC.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty Ltd - C:\Archivos de programa\PC Tools AntiVirus\PCTAVSvc.exe
O23 - Service: RemotelyAnywhere Maintenance Service (RAMaint) - 3am Labs, Inc. - C:\Archivos de programa\RemotelyAnywhere\RaMaint.exe
O23 - Service: RemotelyAnywhere - 3am Labs, Inc. - C:\Archivos de programa\RemotelyAnywhere\RemotelyAnywhere.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
y el log del ELISTAR es
Thu Jan 31 08:03:43 2008
EliStartPage v15.55 ©2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\RAINIT] -> C:\WINDOWS\SYSTEM32\RAinit.dll
C:\WINDOWS\SYSTEM32\RAINIT.DLL --> RemoteAdmin(lmiinit) Renombrado a .VIR
C:\WINDOWS\SYSTEM32\NORUNS.REG --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "GQORCJSFPQ"="c:\windows\system32\gqorcjsfpq.exe gqorcjsfpq"
Entrada Eliminada [HKLM\...\Run] "FEOUMYMKD"="c:\windows\system32\feoumymkd.exe feoumymkd"
Entrada Eliminada [HKLM\...\Run] "QNKXOVRKG"="c:\windows\system32\qnkxovrkg.exe qnkxovrkg"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Jan 31 08:17:05 2008
EliStartPage v15.55 ©2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminados Ficheros Temporales del IE
Thu Jan 31 08:17:30 2008
EliStartPage v15.55 ©2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\PC Tools AntiVirus\HELPER.DLL --> Eliminado, PWS-WoW
C:\Archivos de programa\RemotelyAnywhere\RAINIT.DLL --> Eliminado, RemoteAdmin(lmiinit)
C:\Documents and Settings\Administrador\Escritorio\ANTIVIR_WORKSTATION_WIN7U_EN_H.EXE --> Eliminado, Spy.Banker.FJB(dropper)
C:\Documents and Settings\Administrador\Mis documentos\ANTIVIR_UPDATE_MANAGER_EN.EXE --> Eliminado, Spy.Banker.FJB(dropper)
C:\Documents and Settings\Administrador\Mis documentos\antivirus\ANTIVIR_SERVER_2K3_EN.EXE --> Eliminado, Spy.Banker.FJB(dropper)
C:\Documents and Settings\Administrador\Mis documentos\antivirus\ANTIVIR_WORKSTATION_WIN7U_EN_H.EXE --> Eliminado, Spy.Banker.FJB(dropper)
C:\Documents and Settings\Administrador\Mis documentos\kelvin\antivirus\ANTIVIR_SERVER_2K3_EN.EXE --> Eliminado, Spy.Banker.FJB(dropper)
C:\Documents and Settings\Administrador\Mis documentos\kelvin\antivirus\ANTIVIR_WORKSTATION_WIN7U_EN_H.EXE --> Eliminado, Spy.Banker.FJB(dropper)
C:\WINDOWS\system32\RAINIT.DLL.VIR --> Infectado, RemoteAdmin(lmiinit)
Nº Total de Directorios: 3450
Nº Total de Ficheros: 45655
Nº de Ficheros Analizados: 19372
Nº de Ficheros Infectados: 9
Nº de Ficheros Limpiados: 8
Thu Jan 31 10:17:18 2008
EliStartPage v15.55 ©2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 4
Nº Total de Ficheros: 50
Nº de Ficheros Analizados: 22
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.
les agradecere que me comenten si ya esta completo el analisis o hay que ejecutar algo mas para dejar mi maquina completamente limppia sin problemas
grascias de antemano por su ayuda.
saludos
que hacer con el log hijackthis, que hago despues de escanear y conocer el log ?
Jan 29 2008, 04:11 PM
