Ahora si tengo algo

Maldita sea, le eh vuelto a pasar el McAfee y me salio esta lista :angry2:



C:\WINDOWS\...\etc\hosts.20061201-223423.backup QHosts-63!hosts

C:\WINDOWS\SYSTEM32\dllcache\comp.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\convert.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\control.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\cprofile.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\expand.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\finger.exe W32/Duel

C:\WINDOWS\SYSTEM32\dllcache\fixmapi.exe W32/Duel

C:\WINDOWS\SYSTEM32\dllcache\flattemp.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\forcedos.exe W32/Duel

C:\WINDOWS\SYSTEM32\dllcache\fsutil.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\gpupdate.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\hrtzzm.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\diskperf.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\iissync.exe W32/Duel

C:\WINDOWS\SYSTEM32\dllcache\imekrmig.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\imepadsv.exe W32/Duel

C:\WINDOWS\SYSTEM32\dllcache\imjpdadm.exe W32/Duel

C:\WINDOWS\SYSTEM32\dllcache\imjpuex.exe W32/Duel

C:\WINDOWS\SYSTEM32\dllcache\imscinst.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\ipsec6.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\isignup.exe W32/Duel

C:\WINDOWS\SYSTEM32\dllcache\drwtsn32.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\mpnotify.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\msg.exe W32/Duel.dam



Formatear, solo me queda eso ? nooooooooo :angry2:

Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )



Desactiva Restaurar Sistema (si tienes ME o XP )

Reinicia en Modo seguro o A prueba de Fallos

Haz que se vean todos los archivos.

Cierra todas las aplicaciones

Ejecuta el Hijack :

Busca “Open the Misc Tools Section"

Selecciona "Open process manager"

Busca los siguientes procesos:



alsys.exe



Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:



O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [Agent] C:\WINDOWS\system32\alsys.exe

O4 - HKCU\..\Run: [Agent] C:\WINDOWS\system32\alsys.exe

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/27d1d989...p/RdxIE601.cab



Cierra el Hijack.

Busca estos archivos y los eliminas: (pueden no estar )



C:\WINDOWS\system32\alsys.exe



Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.



Vacía la Papelera



Ejecuta el Avg-antispyware

Reinicia normal, conecta Internet, pon el reporte del AVG Anti-Spyware y pega un nuevo log del Hijack.

Salu2

Caito

Ok, Sr. Caito pero cuando se refiere a ->"Y uno a uno termina estos procesos clickeando "Kill process" y “Yes” <- se refiere a la lista que me salio con el McAfee ?



PD: Si es asi como elimino este archivo "C:\WINDOWS\...\etc\hosts.20061201-223423.backup" cuando lo quize eliminar con el Killbox me salia que no existia :)

Se refiere a este si esta en la lista:



alsys.exe

Luego Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:



O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [Agent] C:\WINDOWS\system32\alsys.exe

O4 - HKCU\..\Run: [Agent] C:\WINDOWS\system32\alsys.exe

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/27d1d989...p/RdxIE601.cab



Cierra el Hijack.

Busca estos archivos y los eliminas: (pueden no estar )



C:\WINDOWS\system32\alsys.exe



Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.



Vacía la Papelera



Ejecuta el Avg-antispyware

Reinicia normal, conecta Internet, pon el reporte del AVG Anti-Spyware y pega un nuevo log del Hijack.

Salu2

Caito

Eliminaste como te dije con Kill Box lo que te detecto McAfee como te dije?



Un Saludo

Si ya termine con todos los pasos, el reporte del AVG Anti-Spyware



---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------



+ Creado en: 05:53:05 p.m. 01/01/2007



+ Resultado del análisis:







C:\WINDOWS\SYSTEM32\x4LH166.exe -> Downloader.Tibs.jy : Limpios con copia de seguridad (en cuarentena).

C:\WINDOWS\SYSTEM32\protector.exe -> Proxy.Wopla.ac : Limpios con copia de seguridad (en cuarentena).

C:\WINDOWS\SYSTEM32\ntio256.sys -> Rootkit.Agent.cf : Limpios con copia de seguridad (en cuarentena).

C:\WINDOWS\SYSTEM32\adir.dll -> Worm.Banwarum.f : Limpios con copia de seguridad (en cuarentena).





::Fin del informe





Y el log de Hijackthis



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Persystems\Perav\PERVAC.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Limpiar\HijackThis\HijackThis_1.99.1.exe

C:\WINDOWS\system32\wuauclt.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra &#39;Tools&#39; menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...929/mcfscan.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/...ampx_en_dl.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE

O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Archivos de programa\Persystems\Perav\PERVAC.EXE



PD: Como elimino esos cuadros de errores de spoolsv.exe y wuauclt.exe no me deja ejecutar el Reproductor de Windows Media ni tampoco puedo abrir el msconfig desde Ejecutar :)

Yo lo veo limpio, no olvides que antes de eliminar nada debes desactivar el Deep Freeze.

Vuelve hacer el Sacn on Line y pega el report, lo de los errores debes de postearlo en el foro de XP.



Un Saludo

Nunca lo tengo activado ;) y bueno otra vez me salio esto con el McAfee :)





C:\WINDOWS\...\etc\hosts.20061201-223423.backup QHosts-63!hosts

C:\WINDOWS\SYSTEM32\dllcache\drwtsn32.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\msg.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\mshearts.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\label.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\mtstocom.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\lnkstub.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\lodctr.exe W32/Duel

C:\WINDOWS\SYSTEM32\dllcache\ntsd.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\replace.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\osuninst.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\reset.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\rsmsink.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\rsmui.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\rsm.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\pathping.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\runas.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\rvsezm.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\sapisvr.exe W32/Duel

C:\WINDOWS\SYSTEM32\dllcache\sc.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\wuauclt.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\shvlzm.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\sort.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\query.exe W32/Duel.dam

C:\WINDOWS\SYSTEM32\dllcache\quser.exe W32/Duel.dam





PD: Me van a castigar otra vez :angry2:

Haz otro scan con otro Antivirus, porque me da que sea un falso positivo...



Los mejores antivirus online | Seguridad Windows

http://www.kaspersky.com/beta?product=161744315

http://housecall.trendmicro.com/

http://www.bitdefender.com/scan8/

http://www.ravantivirus.com/scan/

http://www.windowsecurity.com/trojanscan/

http://us.mcafee.com/root/mfs/default.asp

http://security.symantec.com/sscv6/d...d=ie&venid=sym



Pega el resultado del Scan y si detecta algo, te bajas una version de prueba del Kaspersky y lo instalas, despues de eso lo actualizas y lo pasas.



Un Saludo



PD: Te mando hacer esto, porque los archivos infectados son legales