auxilio,se me cargan solas algunas paginas

Estado
Cerrado para nuevas respuestas

tioted

Nuevo Miembro
Miembro
Logfile of HijackThis v1.99.1

Scan saved at 19:49:29, on 21-02-2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Claudio\Nueva carpeta (2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.udec.cl:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\RunServices: [MSN Messenger] msnmisgi.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B717F582-1E08-4439-B95A-611D26E06239}: NameServer = 200.28.4.129 200.28.4.130

O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\p84u0ih9e84.dll

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

ahi esta el log del hijacks

he intentado con varios programas pero no pasa na

el adware lo detecta pero no lo puede eliminar por que esta en uso o algo así y da la opción de eliminarlo al reinicir pero cuando lo reinicio lo elimina pero se crea un nuevo archivo o el mismo con otro nombre y esta así todo el rato

ojala que me puedan ayudar,gracias
 

GeeK

Ex-Mod
Miembro
[:p Que paginas te carga el explorer?

busca en internet tools removal especificos para tu infeccion.... porque loas mas comunes no son suficientes en casos como los tuyoos...

Prueba SpyBot

GeeK
 

Caito

Ex- Mod
Miembro
Baja este programa :

http://www.atribune.org/downloads/l2mfix.exe

Guárdalo en tu escritorio.

Haz doble click en l2mfix.exe

Instálalo siguiendo las instrucciones y al aparecer este archivo : “ l2mfix “haz doble clic en : “l2mfix.bat” y elige la opción “#1” para correr “find log” poniendo 1

Y dándole Enter

Tardará unos minutos y luego se abrirá el Notepad y te dará un log que tendrás que copiar y pegar como respuesta a este post.

Es importante no darle a la opción “#2” o a otra a no ser que te lo diga en mi próximo post.

Saludos

Caito
 

tioted

Nuevo Miembro
Miembro
2MFIX find log 010406

These are the registry keys present

**********************************************************************************

Winlogon/notify:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ShellCompatibility]

"Asynchronous"=dword:00000000

"DllName"="C:\\WINDOWS\\system32\\p84u0ih9e84.dll"

"Impersonate"=dword:00000000

"Logon"="WinLogon"

"Logoff"="WinLogoff"

"Shutdown"="WinShutdown"

**********************************************************************************

useragent:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

"{40EF6F65-C2BB-6953-1D57-0967295BF037}"=""

**********************************************************************************

Shell Extension key:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

"{FED7043D-346A-414D-ACD7-550D052499A7}"="dBpowerAMP Music Converter 1"

"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}"="dBpowerAMP Music Converter"

"{516EC4D3-4AD9-11D5-AA6A-00E0189008B3}"="The Core Media Player Shell Extension"

"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Carpetas Web"

"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"

"{32020A01-506E-484D-A2A8-BE3CF17601C3}"="AlcoholShellEx"

"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"

"{2D904946-407E-4E5E-9F30-6BCB7D794695}"=""

"{43A66C55-2786-4C75-B11D-0C2F698CF151}"=""

"{62351DE4-8B7A-4501-B3D7-44ACF7A34B86}"=""

"{739466AD-BDC3-4E33-801E-8E13AF791E95}"=""

"{E235EDED-ED23-4147-9F86-D8CA265CEE34}"=""

**********************************************************************************

HKEY ROOT CLASSIDS:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{E235EDED-ED23-4147-9F86-D8CA265CEE34}]

@=""

[HKEY_CLASSES_ROOT\CLSID\{E235EDED-ED23-4147-9F86-D8CA265CEE34}\Implemented Categories]

@=""

[HKEY_CLASSES_ROOT\CLSID\{E235EDED-ED23-4147-9F86-D8CA265CEE34}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]

@=""

[HKEY_CLASSES_ROOT\CLSID\{E235EDED-ED23-4147-9F86-D8CA265CEE34}\InprocServer32]

@="C:\\WINDOWS\\system32\\svmapi.dll"

"ThreadingModel"="Apartment"

**********************************************************************************

Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\

bassmod.dll Mon 6 Feb 2006 20:23:06 A.... 34.308 33,50 K

frapsvid.dll Sat 3 Dec 2005 8:56:50 A.... 36.864 36,00 K

j40sle~1.dll Tue 21 Feb 2006 19:22:30 ..... 235.426 229,91 K

mscloc~1.dll Tue 21 Feb 2006 19:23:32 A.... 20.992 20,50 K

msploc~1.dll Wed 8 Feb 2006 0:29:36 A.... 20.992 20,50 K

p84u0i~1.dll Tue 21 Feb 2006 19:15:48 A.... 233.722 228,24 K

wmv9dmod.dll Wed 18 Jan 2006 3:22:42 A.... 807.032 788,12 K

7 items found: 7 files, 0 directories.

Total of file sizes: 1.389.336 bytes 1,32 M

Locate .tmp files:

No matches found.

**********************************************************************************

Directory Listing of system files:

El volumen de la unidad C no tiene etiqueta.

El n£mero de serie del volumen es: 1C5F-15AC

Directorio de C:\WINDOWS\System32

08-02-2006 02:46 <DIR> dllcache

07-07-2005 15:50 7.168 Thumbs.db

19-06-2005 02:12 <DIR> Microsoft

1 archivos 7.168 bytes

2 dirs 656.220.160 bytes libres
 

Caito

Ex- Mod
Miembro
Ahora vuelve a ejecutar el l2mfix y haz doble click en l2mfix.bat y selecciona la opción “#2” para que corra el Fix tecleando “2” y Enter, luego pulsa cualquier letra para reiniciar la pc. Al reiniciar los íconos del escritorio aparecerán y desaparecerán lo que es normal y luego el notepad aparecerá con el log que tendrás que copiar y pegar como respuesta a este post, si no te aparece ve a la carpeta del programa y haz clic en Second.bat y ya tendrás el reporte.

Es importante no ejecutar ninguna opción del programa a menos que te lo diga.

Luego ejecuta el Ewido :

Bajar ewido security suite:

Ewido Anti-Malware

Actualizarlo acá:

Ewido Anti-Malware

Configurarlo así:

• Durante la instalación Abajo donde dice "Additional Options" Desmarca las casillas de "Install background guard" y "Install scan via context menu".

• Lanza o abre Ewido, Dandole doble click a una gran E que aparecera en tu escritorio

• El programa te preguntara algo sobre las actualizaciones. Click en OK. • El programa te mandara a la pantalla principal.

Tu vas a tener que actualizar las definiciones a la ultima version

• En el lado derecho de la pantalla principal da click en update

• Da click en Start

El proceso se va iniciar y seas informado mediante una barra de progreso.

Una vez las actualizaciones hayan sido instaladas haz lo siguiente:

• Reinicia en el modo seguro. Puedes hacer esto reiniciando tu PC, Y pulsando muchas veces la tela F8 hasta que un menu aparezca. Dirijete con la flecha hacia arriba para seleccionar el modo seguro. Dale enter. Cuando ya se inicie abre el ewido.

• Clickea en el scaner

• Clickea en start scan

• Deja que el programa analize tu PC

Durante el progreso se te preguntara sobre desinfectar archivos clickea en OK. Una vez que el escaneo haya terminado, hay un boton localizado en la parte baja de la pantallla que dice save report

• Clickea en save report

• Guarda tu reporte en el escritorio

Y por último saca un nuevo log del hijack

Me tienes que poner los tres reportes :rolleyes:

Saludos

Caito
 

tioted

Nuevo Miembro
Miembro
L2mfix 010406

Creating Account.

Se ha completado el comando correctamente.

Adding Administrative privleges.

Checking for L2MFix account(0=no 1=yes):

1

Granting SeDebugPrivilege to L2MFIX ... successful



Running From:

C:\WINDOWS\system32



Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

Killing PID 804 'smss.exe'

Killing PID 804 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

Killing PID 876 'winlogon.exe'

Killing PID 876 'winlogon.exe'

Killing PID 876 'winlogon.exe'

Killing PID 876 'winlogon.exe'

Killing PID 876 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

Killing PID 1484 'explorer.exe'

Killing PID 1484 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

Killing PID 1424 'rundll32.exe'

Killing PID 1424 'rundll32.exe'

Restoring Sedebugprivilege:



Scanning First Pass. Please Wait!



First Pass Completed



Second Pass Scanning



Second pass Completed!

1 archivos copiados.

1 archivos copiados.

1 archivos copiados.

1 archivos copiados.

1 archivos copiados.

Deleting: C:\WINDOWS\system32\irl2l53o1.dll

Successfully Deleted: C:\WINDOWS\system32\irl2l53o1.dll

Deleting: C:\WINDOWS\system32\j40sled71h0.dll

Successfully Deleted: C:\WINDOWS\system32\j40sled71h0.dll

Deleting: C:\WINDOWS\system32\kedru1.dll

Successfully Deleted: C:\WINDOWS\system32\kedru1.dll

Deleting: C:\WINDOWS\system32\p84u0ih9e84.dll

Successfully Deleted: C:\WINDOWS\system32\p84u0ih9e84.dll

Deleting: C:\WINDOWS\system32\guard.tmp

Successfully Deleted: C:\WINDOWS\system32\guard.tmp



msg11?.dll

0 archivos copiados.







Restoring Windows Update Certificates.:



The following Is the Current Export of the Winlogon notify key:

****************************************************************************

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\

6c,00,00,00

"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

"DLLName"="cscdll.dll"

"Logon"="WinlogonLogonEvent"

"Logoff"="WinlogonLogoffEvent"

"ScreenSaver"="WinlogonScreenSaverEvent"

"Startup"="WinlogonStartupEvent"

"Shutdown"="WinlogonShutdownEvent"

"StartShell"="WinlogonStartShellEvent"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DateTime]

"Asynchronous"=dword:00000000

"DllName"="C:\\WINDOWS\\system32\\p84u0ih9e84.dll"

"Impersonate"=dword:00000000

"Logon"="WinLogon"

"Logoff"="WinLogoff"

"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

"DLLName"="wlnotify.dll"

"Logon"="SCardStartCertProp"

"Logoff"="SCardStopCertProp"

"Lock"="SCardSuspendCertProp"

"Unlock"="SCardResumeCertProp"

"Enabled"=dword:00000001

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"StartShell"="SchedStartShell"

"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

"Logoff"="WLEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

"DLLName"="WlNotify.dll"

"Lock"="SensLockEvent"

"Logon"="SensLogonEvent"

"Logoff"="SensLogoffEvent"

"Safe"=dword:00000001

"MaxWait"=dword:00000258

"StartScreenSaver"="SensStartScreenSaverEvent"

"StopScreenSaver"="SensStopScreenSaverEvent"

"Startup"="SensStartupEvent"

"Shutdown"="SensShutdownEvent"

"StartShell"="SensStartShellEvent"

"PostShell"="SensPostShellEvent"

"Disconnect"="SensDisconnectEvent"

"Reconnect"="SensReconnectEvent"

"Unlock"="SensUnlockEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"Logoff"="TSEventLogoff"

"Logon"="TSEventLogon"

"PostShell"="TSEventPostShell"

"Shutdown"="TSEventShutdown"

"StartShell"="TSEventStartShell"

"Startup"="TSEventStartup"

"MaxWait"=dword:00000258

"Reconnect"="TSEventReconnect"

"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

"DLLName"="wlnotify.dll"

"Logon"="RegisterTicketExpiredNotificationEvent"

"Logoff"="UnregisterTicketExpiredNotificationEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001



The following are the files found:

****************************************************************************

C:\WINDOWS\system32\irl2l53o1.dll

C:\WINDOWS\system32\j40sled71h0.dll

C:\WINDOWS\system32\kedru1.dll

C:\WINDOWS\system32\p84u0ih9e84.dll

C:\WINDOWS\system32\guard.tmp



Registry Entries that were Deleted:

Please verify that the listing looks ok.

If there was something deleted wrongly there are backups in the backreg folder.

****************************************************************************

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{E235EDED-ED23-4147-9F86-D8CA265CEE34}]

@=""

[HKEY_CLASSES_ROOT\CLSID\{E235EDED-ED23-4147-9F86-D8CA265CEE34}\Implemented Categories]

@=""

[HKEY_CLASSES_ROOT\CLSID\{E235EDED-ED23-4147-9F86-D8CA265CEE34}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]

@=""

[HKEY_CLASSES_ROOT\CLSID\{E235EDED-ED23-4147-9F86-D8CA265CEE34}\InprocServer32]

@="C:\\WINDOWS\\system32\\kedru1.dll"

"ThreadingModel"="Apartment"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

"{2D904946-407E-4E5E-9F30-6BCB7D794695}"=-

"{43A66C55-2786-4C75-B11D-0C2F698CF151}"=-

"{62351DE4-8B7A-4501-B3D7-44ACF7A34B86}"=-

"{739466AD-BDC3-4E33-801E-8E13AF791E95}"=-

"{E235EDED-ED23-4147-9F86-D8CA265CEE34}"=-

[-HKEY_CLASSES_ROOT\CLSID\{2D904946-407E-4E5E-9F30-6BCB7D794695}]

[-HKEY_CLASSES_ROOT\CLSID\{43A66C55-2786-4C75-B11D-0C2F698CF151}]

[-HKEY_CLASSES_ROOT\CLSID\{62351DE4-8B7A-4501-B3D7-44ACF7A34B86}]

[-HKEY_CLASSES_ROOT\CLSID\{739466AD-BDC3-4E33-801E-8E13AF791E95}]

[-HKEY_CLASSES_ROOT\CLSID\{E235EDED-ED23-4147-9F86-D8CA265CEE34}]

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

****************************************************************************

Desktop.ini Contents:

****************************************************************************

****************************************************************************

Checking for L2MFix account(0=no 1=yes):

0

Zipping up files for submission:

adding: dlls/guard.tmp (188 bytes security) (deflated 4%)

adding: dlls/irl2l53o1.dll (188 bytes security) (deflated 5%)

adding: dlls/j40sled71h0.dll (188 bytes security) (deflated 5%)

adding: dlls/kedru1.dll (188 bytes security) (deflated 4%)

adding: dlls/p84u0ih9e84.dll (188 bytes security) (deflated 4%)

adding: backregs/E235EDED-ED23-4147-9F86-D8CA265CEE34.reg (212 bytes security) (deflated 70%)

adding: backregs/notibac.reg (188 bytes security) (deflated 63%)

adding: backregs/shell.reg (188 bytes security) (deflated 58%)
 

tioted

Nuevo Miembro
Miembro
---------------------------------------------------------

ewido anti-malware - Report de exploración

---------------------------------------------------------

+ Creado en: 16:12:23, 22-02-2006

+ Report-Checksum: 86387956

+ Scan result:

HKLM\SOFTWARE\Effective-i -> Adware.EffectiveBrandToolbar : Limpio con backup

HKLM\SOFTWARE\Effective-i\TheSearchAccelerator -> Adware.EffectiveBrandToolbar : Limpio con backup

HKLM\SOFTWARE\Effective-i\TheSearchAccelerator\IE5 -> Adware.EffectiveBrandToolbar : Limpio con backup

HKU\.DEFAULT\Software\Effective-i -> Adware.EffectiveBrandToolbar : Limpio con backup

HKU\.DEFAULT\Software\Effective-i\TheSearchAccelerator -> Adware.EffectiveBrandToolbar : Limpio con backup

HKU\.DEFAULT\Software\Effective-i\TheSearchAccelerator\IE5 -> Adware.EffectiveBrandToolbar : Limpio con backup

HKU\S-1-5-21-854245398-179605362-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\{944864A5-3916-46E2-96A9-A2E84F3F1208} -> Adware.Accoona : Limpio con backup

HKU\S-1-5-18\Software\Effective-i -> Adware.EffectiveBrandToolbar : Limpio con backup

HKU\S-1-5-18\Software\Effective-i\TheSearchAccelerator -> Adware.EffectiveBrandToolbar : Limpio con backup

HKU\S-1-5-18\Software\Effective-i\TheSearchAccelerator\IE5 -> Adware.EffectiveBrandToolbar : Limpio con backup

C:\Archivos de programa\FlashGet\BACKUP\cd_install277.001/cd_clint.dll -> Adware.Cydoor : Limpio con backup

C:\Archivos de programa\FlashGet\BACKUP\cd_install277.exe/cd_clint.dll -> Adware.Cydoor : Limpio con backup

C:\Claudio\l2mfix\backup.zip/dlls/guard.tmp -> Adware.Look2Me : Limpio con backup

C:\Claudio\l2mfix\backup.zip/dlls/irl2l53o1.dll -> Adware.Look2Me : Limpio con backup

C:\Claudio\l2mfix\backup.zip/dlls/j40sled71h0.dll -> Adware.Look2Me : Limpio con backup

C:\Claudio\l2mfix\backup.zip/dlls/kedru1.dll -> Adware.Look2Me : Limpio con backup

C:\Claudio\l2mfix\backup.zip/dlls/p84u0ih9e84.dll -> Adware.Look2Me : Limpio con backup

C:\Claudio\l2mfix\dlls\guard.tmp -> Adware.Look2Me : Limpio con backup

C:\Claudio\l2mfix\dlls\irl2l53o1.dll -> Adware.Look2Me : Limpio con backup

C:\Claudio\l2mfix\dlls\j40sled71h0.dll -> Adware.Look2Me : Limpio con backup

C:\Claudio\l2mfix\dlls\kedru1.dll -> Adware.Look2Me : Limpio con backup

C:\Claudio\l2mfix\dlls\p84u0ih9e84.dll -> Adware.Look2Me : Limpio con backup

C:\Documents and Settings\Familia Gonzalez Veg\Cookies\familia gonzalez veg@atdmt[1].txt -> TrackingCookie.Atdmt : Limpio con backup

C:\Documents and Settings\Familia Gonzalez Veg\Cookies\familia gonzalez veg@mediaplex[1].txt -> TrackingCookie.Mediaplex : Limpio con backup

C:\Documents and Settings\Familia Gonzalez Veg\Cookies\familia gonzalez veg@statcounter[2].txt -> TrackingCookie.Statcounter : Limpio con backup

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\2AFGXQ7O\gimmygames10[1].exe -> Trojan.VB.ajj : Limpio con backup

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\CEY6C6KH\Installer[1].exe -> Adware.Look2Me : Limpio con backup

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\CEY6C6KH\winsysupd10[1].exe -> Downloader.VB.wg : Limpio con backup

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\COJ5ST1U\ucmoreiex[1].exe/UCMTSAIE.DLL -> Adware.Ucmore : Limpio con backup

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\COJ5ST1U\ucmoreiex[1].exe/IUCMORE.DLL -> Adware.Ucmore : Limpio con backup

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\DX3WP4O3\install[1].exe -> Dropper.Agent.aed : Limpio con backup

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\DX3WP4O3\winsysban10[1].exe -> Hijacker.VB.ld : Limpio con backup

C:\WINDOWS\system32\msclock32.dll -> Adware.NaviPromo : Limpio con backup

C:\WINDOWS\system32\msplock32.dll -> Adware.NaviPromo : Limpio con backup

::Fin Report
 

tioted

Nuevo Miembro
Miembro
bueno no sabia si el del hijack hacerlo con el pc en modo seguro o normal así que tome los dos

en modo seguro:

____________________________________________________________________

Logfile of HijackThis v1.99.1

Scan saved at 16:14:42, on 22-02-2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Claudio\Nueva carpeta (2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.udec.cl:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [hwvuxfyqds] c:\windows\system32\hwvuxfyqds.exe hwvuxfyqds

O4 - HKLM\..\RunServices: [MSN Messenger] msnmisgi.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\p84u0ih9e84.dll (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

____________________________________________________________________

en modo normal

Logfile of HijackThis v1.99.1

Scan saved at 16:23:04, on 22-02-2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Claudio\Nueva carpeta (2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.udec.cl:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\RunServices: [MSN Messenger] msnmisgi.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B717F582-1E08-4439-B95A-611D26E06239}: NameServer = 200.28.4.129 200.28.4.130

O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\p84u0ih9e84.dll (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
 

Caito

Ex- Mod
Miembro
Imprime o copia estas indicaciones!!!

Si no sabes cómo hacer algúnos de los procedimientos mira esto:Manual pasos a seguir para el uso HijackThis

Baja este programa: Disk Cleaner

Y el AdAware Se 1.06 :

Ad-Aware

Actualízalo al 22/02/06

Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )

Desactiva Restaurar Sistema (si tienes ME o XP )

Reinicia en Modo seguro o A prueba de Fallos

Haz que se vean todos los archivos.

Cierra todas las aplicaciones

Ejecuta el Hijack :

Busca “Open the Misc Tools Section"

Selecciona "Open process manager"

Busca los siguientes procesos:

msnmisgi.exe

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm

O4 - HKLM\..\RunServices: [MSN Messenger] msnmisgi.exe>no es el verdadero MSN

O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\p84u0ih9e84.dll (file missing)

Cierra el Hijack.

Busca estos archivos y los eliminas: (pueden no estar )

msnmisgi.exe>no es el verdadero MSN

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se 1.06 actualizado al 22/02/06 y el Ewido

Reinicia normal, conecta Internet, pon el reporte del Ewido y pega un nuevo log del Hijack.

Saludos

Caito
 

tioted

Nuevo Miembro
Miembro
cual de todos los escaneos del ewido lanzo. el completo? es que ese se demora mucho
 

tioted

Nuevo Miembro
Miembro
qui esta el reporte del ewido

---------------------------------------------------------

ewido anti-malware - Report de exploración

---------------------------------------------------------

+ Creado en: 14:50:00, 23-02-2006

+ Report-Checksum: F4B245E3

+ Scan result:

C:\WINDOWS\system32\msclock32.dll -> Adware.NaviPromo : Limpio con backup

::Fin Report

y el de hijacks

Logfile of HijackThis v1.99.1

Scan saved at 14:51:25, on 23-02-2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Claudio\Nueva carpeta (2)\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.udec.cl:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [hwvuxfyqds] c:\windows\system32\hwvuxfyqds.exe hwvuxfyqds

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
 

Caito

Ex- Mod
Miembro
Sigue los mismos consejos para eliminar esta línea :

O4 - HKLM\..\Run: [hwvuxfyqds] c:\windows\system32\hwvuxfyqds.exe hwvuxfyqds

y este archivo :

c:\windows\system32\hwvuxfyqds.exe

Luego saca un nuevo log del hijack

Y comenta cómo funciona

Saludos

Caito
 

tioted

Nuevo Miembro
Miembro
bueno el pc funciona bien acerato, se me había olvida decir que el msmm... no estaba cuando queria matar el proceso con el hijack
 

tioted

Nuevo Miembro
Miembro
---------------------------------------------------------

ewido anti-malware - Report de exploración

---------------------------------------------------------

+ Creado en: 16:19:37, 23-02-2006

+ Report-Checksum: 17B271C6

+ Scan result:

C:\WINDOWS\system32\msclock32.dll -> Adware.NaviPromo : Limpio sin backup

C:\Documents and Settings\Familia Gonzalez Veg\Cookies\familia gonzalez veg@atdmt[1].txt -> TrackingCookie.Atdmt : Limpio con backup

::Fin Report

---------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 16:20:47, on 23-02-2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Claudio\hijacks\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.udec.cl:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
 

Caito

Ex- Mod
Miembro
Vuelve a ejecutar el Ewido a ver si esta no aparece más :

C:\WINDOWS\system32\msclock32.dll

Saludos

Caito
 

tioted

Nuevo Miembro
Miembro
ya ejecute el ewido y no detecto nada.

Logfile of HijackThis v1.99.1

Scan saved at 20:04:09, on 23-02-2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Claudio\hijacks\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.udec.cl:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B717F582-1E08-4439-B95A-611D26E06239}: NameServer = 200.28.4.129 200.28.4.130

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
 
Estado
Cerrado para nuevas respuestas
Arriba Pie