Ahora si tengo algo

Tema en 'Logs HijackThis' comenzado por MarianFer, 1/1/07.

Estado del tema:
No está abierto para más respuestas.
  1. MarianFer

    MarianFer Nuevo Miembro Miembro

    Primero Feliz Año a todos(as), mi primito menor se quedo en mi pc y no se bajo pero ahora si está infectada.... miren esto porfavor :)



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe

    C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

    C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

    C:\Archivos de programa\Messenger\msmsgs.exe

    C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    C:\Archivos de programa\Persystems\Perav\PERVAC.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\Limpiar\HijackThis\HijackThis_1.99.1.exe



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.pe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

    O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

    O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/27d1d98959d7b9...ip/RdxIE601.cab

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll

    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE

    O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Archivos de programa\Persystems\Perav\PERVAC.EXE
  2. Lestat

    Lestat Nuevo Miembro Miembro

  3. MarianFer

    MarianFer Nuevo Miembro Miembro

    Y no solo eso, cada vez que reinicio la pc me sale este mensaje:



    spoolsv.exe

    Error de Aplicación. La intrucción en "0x0100be71" hace referencia a la memoria "0x00000000". La memoria no se puede written.



    Haga click en Aceptar para finalizar

    Haga click en Cancelar para depurar





    y un cuadro de mensaje de que el programa debe cerrarse con --> wuauclt.exe y con --> Application Layer Gateway Service.



    Diosss que le paso a mi pc :confused:



    Tampoco puedo abrir el msn, ni el msconfig todo esta mal :(
  4. Lestat

    Lestat Nuevo Miembro Miembro

    Probaste a restaurar el sistema???????????
  5. MarianFer

    MarianFer Nuevo Miembro Miembro

    Si, pero sigue igual no puedo abrir el msn y otros programas :(
  6. Lestat

    Lestat Nuevo Miembro Miembro

    Haz el Scan y pega un nuevo log mas el report.



    Un Saludo
  7. MarianFer

    MarianFer Nuevo Miembro Miembro

    wow todo esto me salio con el McAfee



    C:\WINDOWS\HELP\Tours\mmTour\tour.exe W32/Duel

    C:\WINDOWS\...\etc\hosts.20061201-223423.backup QHosts-63!hosts

    C:\WINDOWS\SYSTEM32\Laberinto 3D.scr W32/Duel

    C:\WINDOWS\SYSTEM32\CMMGR32.EXE W32/Duel

    C:\WINDOWS\SYSTEM32\MACROMED\FLASH\UninstFl.exe W32/Duel

    C:\WINDOWS\SYSTEM32\wbem\unsecapp.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\wbem\winmgmt.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\wbem\wmic.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\twunk_32.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\imjputy.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\imjprw.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\imjpmig.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\imjpinst.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\imjpdsvr.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\imjpdct.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\attrib.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\bckgzm.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\bootcfg.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\bootok.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\cacls.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\calc.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\cb32.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\change.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\chkdsk.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\chkrzm.exe W32/Duel.dam





    Y este es el log de hijackthis



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe

    C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

    C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

    C:\Archivos de programa\Messenger\msmsgs.exe

    C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    C:\Archivos de programa\Persystems\Perav\PERVAC.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\Limpiar\HijackThis\HijackThis_1.99.1.exe



    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.pe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

    O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

    O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/27d1d98959d7b9...ip/RdxIE601.cab

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...929/mcfscan.cab

    O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll

    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE

    O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Archivos de programa\Persystems\Perav\PERVAC.EXE



    ;)
  8. Lestat

    Lestat Nuevo Miembro Miembro

    Baja Killbox:



    http://www.downloads.subratam.org/KillBox.exe (No lo ejecutes)





    Desactiva Deep Freeze, reinicia en modo seguro, desconectado fisicamente de internet.

    Abre Kill Box sin reiniciar

    Doble clic para que arranque ,marca “Standard File Kill.”

    En” Full Path of File to Delete” pones la ruta del archivo...



    EJEMPLO: C:\WINDOWS\system32\issearch.exe



    Y pulsa el botón que parece un circulo rojo con una X :blanca en él. Cuando te pregunte si deseas reiniciar ahora ("Reboot now"), dile que NO hasta eliminar todas estas:





    C:\WINDOWS\HELP\Tours\mmTour\tour.exe C:\WINDOWS\...\etc\hosts.20061201-223423.backup QHosts-63!hosts

    C:\WINDOWS\SYSTEM32\Laberinto 3D.scr

    C:\WINDOWS\SYSTEM32\CMMGR32.EXE

    C:\WINDOWS\SYSTEM32\MACROMED\FLASH\UninstFl.exe W32/Duel

    C:\WINDOWS\SYSTEM32\wbem\unsecapp.exe

    C:\WINDOWS\SYSTEM32\wbem\winmgmt.exe

    C:\WINDOWS\SYSTEM32\wbem\wmic.exe

    C:\WINDOWS\SYSTEM32\dllcache\ twunk_32.exe

    C:\WINDOWS\SYSTEM32\dllcache\imjputy.exe

    C:\WINDOWS\SYSTEM32\dllcache\imjprw.exe

    C:\WINDOWS\SYSTEM32\dllcache\imjpmig.exe

    C:\WINDOWS\SYSTEM32\dllcache\imjpinst.exe

    C:\WINDOWS\SYSTEM32\dllcache\imjpdsvr.exe

    C:\WINDOWS\SYSTEM32\dllcache\imjpdct.exe

    C:\WINDOWS\SYSTEM32\dllcache\attrib.exe

    C:\WINDOWS\SYSTEM32\dllcache\bckgzm.exe

    C:\WINDOWS\SYSTEM32\dllcache\bootok.exe

    C:\WINDOWS\SYSTEM32\dllcache\cacls.exe

    C:\WINDOWS\SYSTEM32\dllcache\calc.exe

    C:\WINDOWS\SYSTEM32\dllcache\cb32.exe

    C:\WINDOWS\SYSTEM32\dllcache\change.exe

    C:\WINDOWS\SYSTEM32\dllcache\chkdsk.exe

    C:\WINDOWS\SYSTEM32\dllcache\chkrzm.exe




    Despues de reiniciar, ejecuta SmitfraudFix



    http://siri.urz.free.fr/Fix/SmitfraudFix.zip



    Extrae todos los archivos al escritorio, una carpeta llamada

    SmitfraudFix se creará , la abres haciendo y haces doble clic en smitfraudfix.cmd

    Seleccionas la opción #2 – Clean tecleando 2 y dándole a Enter

    Te aparecerá :"Registry cleaning - Do you want to clean the registry ?"

    Contesta Yes apretando la Y y dándole a Enter

    Si te aparece :"Replace infected file ?"

    Contesta Yes apretando la Y y dándole a Enter

    Ten paciencia mientras el programa trabaja, luego te dará un reporte (log) llamado

    rapport.txt
    el cual se encontrará en la raíz de tu disco duro, lo más común será C: rapport.txt

    La pc se reiniciará (si no lo hace reiniciala tu )

    Me lo copias y pones en tu próximo post



    Y Look2meDestroyer



    Crea una nueva carpeta con el nombre de Look2meDestroyer

    y lo guardas ahí.



    http://www.atribune.org/ccount/click.php?id=7



    Ejecútalo :



    Doble click al archivo Look2me-Destroyer.exe



    Marca la casilla que dice “Run this programa as a task”. Verás un mensaje que dice que el programa se cerrará y se volverá a abrir en 10 segundos aproximadamente, presiona el botón Aceptar.



    Si recibes un mensaje de error al tratar de abrir el programa , descarga el archivo MSWINSCK.OCX y lo guardas dentro de la carpeta C:\Windows\system32



    http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX



    Cuando el programa se vuelva a abrir, presiona el botón “Look for L2M” los íconos del escritorio desaparecerán, eso es normal.



    Cuando termine el chequeo, presiona el botón que dice “Remove L2M” luego recibirás un mensaje que dirá lo siguiente “Done Scanning” presiona el botón Aceptar. comenzará entonces la desinfección y recibirás el mensaje: "Done removing infected files! Look2Me-Destroyer will now shutdown your computer”, presiona el botón Aceptar.



    La computadora se apagará, por lo que tendrás que volverla a encender, al entrar de nuevo en el sistema dale doble clic al ícono Mi Pc y doble clic a Disco Local C, abre el archivo Look2me-destroyer.txt y pega su contenido en este mismo mensaje acompañado de un nuevo log de hijackthis .



    Haces un nuevo Scan on line, pegas el report resultante y los reports de los programas.



    Un Saludo



    PD: Esa infeccion es grave :eek: :eek:
  9. MarianFer

    MarianFer Nuevo Miembro Miembro

    upsss... este año me voy a porter mejor ;) ok pero ahora esta corriendo el

    A-Squared y ya me salieron mas obejetos infectados :eek:
  10. Lestat

    Lestat Nuevo Miembro Miembro





    No te preocupes y elimina lo que te detecte, haz lo indicado haber si eliminamos esos Gusanos (No son troyanos los importantes)



    Un Saludo



    PD:¿Portarte bien?¿No sera mirar lo que descargas e instalar un mejor Antivirus? :eek:
  11. MarianFer

    MarianFer Nuevo Miembro Miembro

    jaja bueno solo unas preguntas más antes de hacer los pasos, me puedes dar un link alternativo para poder bajar el SmitfraudFix ese ya no existe creo :( y para el programa Look2me-Destroyer.exe si me sale el mensaje de error tengo que instalar MSWINSCK.OCX pero como lo instalo si voy estar sin internet o para entonces le vuelo a conectar el inter.



    PD: Por eso me voy a portar bien ya no voy entrar a páginas que no debo :(
  12. Lestat

    Lestat Nuevo Miembro Miembro



    Si funciona, vuelve a probar y mira que no te pare la descarga el navegador...

    Sino eres capaz me lo dices.





    Te lo bajas antes por si acaso.





    Ya me diras cules son :D :D :D



    Un Saludo
  13. MarianFer

    MarianFer Nuevo Miembro Miembro



    No se puede, sale que no existe la página ;) me van a matar ! :(
  14. Lestat

    Lestat Nuevo Miembro Miembro

  15. MarianFer

    MarianFer Nuevo Miembro Miembro

    Gracias ! ya tengo todo listo para empezar, espero que no sea la 3ra PC que malogro/destrozo ! regreso con los informes :(
  16. MarianFer

    MarianFer Nuevo Miembro Miembro

    Bueno ya termine con todos los paso y estos son los informes



    1)SmitFraudFix v2.132



    »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix

    !!!Attention, following keys are not inevitably infected!!!



    SrchSTS.exe by S!Ri

    Search SharedTaskScheduler's .dll



    »»»»»»»»»»»»»»»»»»»»»»»» Killing process





    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix



    GenericRenosFix by S!Ri





    »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files



    C:\WINDOWS\system32\migicons.exe Deleted



    »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files





    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

    !!!Attention, following keys are not inevitably infected!!!



    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

    "System"=""





    »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning



    Registry Cleaning done.



    »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix

    !!!Attention, following keys are not inevitably infected!!!



    SrchSTS.exe by S!Ri

    Search SharedTaskScheduler's .dll



    2) Look2Me-Destroyer V1.0.12



    Scanning for infected files.....

    Scan started at 31/12/2006 21:48:05





    Attempting to delete infected files...



    Making registry repairs.





    Restoring Windows certificates.



    Replaced hosts file with default windows hosts file





    Restoring SeDebugPrivilege for Administradores - Succeeded



    3) Logfile of HijackThis



    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

    C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

    C:\Archivos de programa\Messenger\msmsgs.exe

    C:\Archivos de programa\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe

    C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    C:\Archivos de programa\Persystems\Perav\PERVAC.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\Archivos de programa\Windows Media Player\wmplayer.exe

    C:\Archivos de programa\Internet Explorer\iexplore.exe

    C:\Limpiar\HijackThis\HijackThis_1.99.1.exe



    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

    O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

    O4 - HKLM\..\Run: [Agent] C:\WINDOWS\system32\alsys.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [Agent] C:\WINDOWS\system32\alsys.exe

    O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/27d1d98959d7b9...ip/RdxIE601.cab

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

    O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...929/mcfscan.cab

    O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll

    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE

    O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Archivos de programa\Persystems\Perav\PERVAC.EXE







    Durante los procesos el AVG Anti-Spyware me detecto "Downloader.tibs JY, ubicado en C:Documentos and Settings/Mafer/Bxvtipo.exe



    PD: Sigo con los cuadros de error y no puedo abrir el Reproductor de Windows Media Player, ni tampoco el msconfig y 171278 se fue a dormir :(
  17. MarianFer

    MarianFer Nuevo Miembro Miembro

    Maldita sea, le eh vuelto a pasar el McAfee y me salio esta lista :(



    C:\WINDOWS\...\etc\hosts.20061201-223423.backup QHosts-63!hosts

    C:\WINDOWS\SYSTEM32\dllcache\comp.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\convert.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\control.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\cprofile.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\expand.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\finger.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\fixmapi.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\flattemp.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\forcedos.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\fsutil.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\gpupdate.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\hrtzzm.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\diskperf.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\iissync.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\imekrmig.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\imepadsv.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\imjpdadm.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\imjpuex.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\imscinst.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\ipsec6.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\isignup.exe W32/Duel

    C:\WINDOWS\SYSTEM32\dllcache\drwtsn32.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\mpnotify.exe W32/Duel.dam

    C:\WINDOWS\SYSTEM32\dllcache\msg.exe W32/Duel.dam



    Formatear, solo me queda eso ? nooooooooo :(
  18. Caito

    Caito Nuevo Miembro Miembro

    Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )



    Desactiva Restaurar Sistema (si tienes ME o XP )

    Reinicia en Modo seguro o A prueba de Fallos

    Haz que se vean todos los archivos.

    Cierra todas las aplicaciones

    Ejecuta el Hijack :

    Busca “Open the Misc Tools Section"

    Selecciona "Open process manager"

    Busca los siguientes procesos:



    alsys.exe



    Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

    Cuando terminas con todos clickea "Back"

    Scan y luego Fix a estas:



    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

    O4 - HKLM\..\Run: [Agent] C:\WINDOWS\system32\alsys.exe

    O4 - HKCU\..\Run: [Agent] C:\WINDOWS\system32\alsys.exe

    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/27d1d98959d7b9...ip/RdxIE601.cab



    Cierra el Hijack.

    Busca estos archivos y los eliminas: (pueden no estar )



    C:\WINDOWS\system32\alsys.exe



    Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.



    Vacía la Papelera



    Ejecuta el Avg-antispyware

    Reinicia normal, conecta Internet, pon el reporte del AVG Anti-Spyware y pega un nuevo log del Hijack.

    Salu2

    Caito
  19. MarianFer

    MarianFer Nuevo Miembro Miembro

    Ok, Sr. Caito pero cuando se refiere a ->"Y uno a uno termina estos procesos clickeando "Kill process" y “Yes” <- se refiere a la lista que me salio con el McAfee ?



    PD: Si es asi como elimino este archivo "C:\WINDOWS\...\etc\hosts.20061201-223423.backup" cuando lo quize eliminar con el Killbox me salia que no existia :)
  20. Lestat

    Lestat Nuevo Miembro Miembro

    Se refiere a este si esta en la lista:



    alsys.exe





    Eliminaste como te dije con Kill Box lo que te detecto McAfee como te dije?



    Un Saludo
Estado del tema:
No está abierto para más respuestas.

Comparte esta página