Ayudenmeeeee tengo problemas con mi Pc

Estado
Cerrado para nuevas respuestas

kenzore

Nuevo Miembro
Miembro
#1
Hola tengo un problema con mi Pc, por favor necesito ayuda :( Lo que sucede es que cuando enciendo la Pc, se carga un archivo de nombre p6.exe éste lo observé con el msconfig, lo deshabilito pero después de un rato vuelve a aparecer, la verdad no se de que se trata. En la barra de tareas (esa que esta con el reloj) si abro las conexiones de red (icono de las dos Pc) observo que mi Pc esta recibiendo datos de internet creo que a causa de este archivo p6.exe y no se detiene. Este archivo esta poniendo lenta a mi Pc mas aun cuando me conecto a internet. Cuando pulso Ctrl+Alt+Supr para entrar al administrador de tareas este no responde se queda cargando. Entré al modo seguro de Windows Xp busqué ese tal archivo, si situó en c:\windows\system32, lo eliminé pero al reiniciar vuelve a aparecer. En el REGEDIT también lo eliminé, se situa en HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENT VERSION/RUN SERVICES

NO se si pueda ser un virus o algúna aplicacion no deseada, pero lo cierto es que me esta causando muchos problemas.

Le pasé el Adware y el SpyBot actualizados pero no me encuentra nada, asimismo empleé antivirus locales y antivirus en linea, y nada de nada todo ok segun esos software...La Pc me va lenta que puede ser ayudenme por favor...GRACIAS por su atención y la ayuda que me puedan brindar.
 
A

Arwing

Guest
#2
Descarga el programa HijackThis 1.99.0 y colócalo en una carpeta propia para el HijackThis (por ejemplo una carpeta C:\HijackThis\). Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo en este post para un análisis.

Arwing
 

kenzore

Nuevo Miembro
Miembro
#3
Descarga el programa HijackThis 1.99.0 y colócalo en una carpeta propia para el HijackThis (por ejemplo una carpeta C:\HijackThis\). Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo en este post para un análisis.

Arwing
Hola disculpa que haya pegado mi log con demora, lo que pasa es que no quise ni tocar mi Pc, pero aquí va:

Logfile of HijackThis v1.99.0

Scan saved at 10:50:32 p.m., on 26/01/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\crypserv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\niSvcLoc.exe

C:\ARCHIV~1\THEHAC~1\THD32.EXE

C:\ARCHIV~1\THEHAC~1\THSM.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe

C:\ARCHIV~1\THEHAC~1\THAV.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\INS\VitalAgent\Program\VtlAgent.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe

C:\WINDOWS\System32\p6.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Documents and Settings\ALEXANDER\Escritorio\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Archivos de programa\Copernic Agent\CopernicAgentExt.dll

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM\..\Run: [THEHACKERCONSOLA] C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE

O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe -osboot

O4 - HKLM\..\RunServices: [T_H_S_M] C:\ARCHIV~1\THEHAC~1\THSM.EXE

O4 - HKLM\..\RunServices: MSNPluginSvrcs C:\WINDOWS\System32\p6.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Realizar la búsqueda utilizando Copernic Agent - C:\Archivos de programa\Copernic Agent\Web\SearchExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Ejecutar Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F0ACF641-E7E7-4379-9B68-2BD4151A7C53}: NameServer = 200.110.2.40,200.110.24.4

O20 - AppInit_DLLs: PAVWAIT.DLL

O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NILM License manager - Macrovision Corporation - C:\Archivos de programa\National Instruments\shared\License Manager\Bin\lmgrd.exe

O23 - Service: NI Service Locator - National Instruments - C:\WINDOWS\System32\niSvcLoc.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: The Hacker Antivirus - Hacksoft s.r.l. - C:\ARCHIV~1\THEHAC~1\THD32.EXE

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: The Hacker Service Manager - Hacksoft - C:\ARCHIV~1\THEHAC~1\THSM.EXE

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Gracias por tu ayuda, a ver si me dices que tiene mi Pc :confused:
 

alnitak

Ex-Admin
Miembro
#4
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola,

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Como mostrar archivos ocultos

Desactiva la opción de restaurar el sistema

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Ejecuta el HijackThis 1.99.0, dale a Do a System Scan Only , revisa las casillas de las siguientes entradas y dale a fix checked:

O4 - HKLM\..\RunServices: MSNPluginSvrcs C:\WINDOWS\System32\p6.exe

O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)



Cierra el HijackThis, elimina los archivos temporales y cookies con el disk cleaner: marcas las casillas System Tempory Files, Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.

Elimina estos archivos si todavía existen:

C:\WINDOWS\System32\p6.exe

Limpia la papelera.

Reinicia normalmente y reactiva la opción de restaurar el sistema.

Actualiza tu sistema a través del Windows Update y bájate todas las actualizaciones críticas disponibles para tu sistema operativo.

Toma otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

kenzore

Nuevo Miembro
Miembro
#5
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola,

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Como mostrar archivos ocultos

Desactiva la opción de restaurar el sistema

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Ejecuta el HijackThis 1.99.0, dale a Do a System Scan Only , revisa las casillas de las siguientes entradas y dale a fix checked:

O4 - HKLM\..\RunServices: MSNPluginSvrcs C:\WINDOWS\System32\p6.exe

O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)



Cierra el HijackThis, elimina los archivos temporales y cookies con el disk cleaner: marcas las casillas System Tempory Files, Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.

Elimina estos archivos si todavía existen:

C:\WINDOWS\System32\p6.exe

Limpia la papelera.

Reinicia normalmente y reactiva la opción de restaurar el sistema.

Actualiza tu sistema a través del Windows Update y bájate todas las actualizaciones críticas disponibles para tu sistema operativo.

Toma otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola Alnitak, te cuento que al momento de pasar el HijackThis v1.99.0, en opciones de carpeta ya estaba activada la opción de mostrar todos los archivos.

Tambien te cuento que tengo desactivada desde hace mucho tiempo la opción RESTAURAR SISTEMA.

Realicé lo que me dijiste de darle fix checked a las entradas:

O4 - HKLM\..\RunServices: MSNPluginSvrcs C:\WINDOWS\System32\p6.exe

O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)

Bueno ahi te va el ultimo log:

Logfile of HijackThis v1.99.0

Scan saved at 4:10:21 p.m., on 27/01/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\crypserv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\niSvcLoc.exe

C:\ARCHIV~1\THEHAC~1\THD32.EXE

C:\ARCHIV~1\THEHAC~1\THSM.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe

C:\ARCHIV~1\THEHAC~1\THAV.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\INS\VitalAgent\Program\VtlAgent.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe

C:\WINDOWS\System32\p6.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Documents and Settings\ALEXANDER\Escritorio\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Archivos de programa\Copernic Agent\CopernicAgentExt.dll

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM\..\Run: [THEHACKERCONSOLA] C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE

O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe -osboot

O4 - HKLM\..\RunServices: [T_H_S_M] C:\ARCHIV~1\THEHAC~1\THSM.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Realizar la búsqueda utilizando Copernic Agent - C:\Archivos de programa\Copernic Agent\Web\SearchExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Ejecutar Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F0ACF641-E7E7-4379-9B68-2BD4151A7C53}: NameServer = 200.110.2.40,200.110.24.4

O20 - AppInit_DLLs: PAVWAIT.DLL

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NILM License manager - Macrovision Corporation - C:\Archivos de programa\National Instruments\shared\License Manager\Bin\lmgrd.exe

O23 - Service: NI Service Locator - National Instruments - C:\WINDOWS\System32\niSvcLoc.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: The Hacker Antivirus - Hacksoft s.r.l. - C:\ARCHIV~1\THEHAC~1\THD32.EXE

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: The Hacker Service Manager - Hacksoft - C:\ARCHIV~1\THEHAC~1\THSM.EXE

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

alnitak

Ex-Admin
Miembro
#6
Me parece que ha quedado bien.

Te suguiero reactivar la opción de restaurar el sistema, la encontrarás muy util si vuelves a tenr problemas ahora que tu sistema está limpio, simplemente lo restauras a la fecha de hoy y en 5 minutos lo tienes limpio otra vez
 

kenzore

Nuevo Miembro
Miembro
#7
Me parece que ha quedado bien.

Te suguiero reactivar la opción de restaurar el sistema, la encontrarás muy util si vuelves a tenr problemas ahora que tu sistema está limpio, simplemente lo restauras a la fecha de hoy y en 5 minutos lo tienes limpio otra vez
Alnitak lo que no entiendo es porque sigue apareciendo ese archivo p6.exe

Si miras el log, todavia esta ahi.

No se logro eliminar, ahora la Pc se volvio a cargar con ese archivo.
 

alnitak

Ex-Admin
Miembro
#8
Coño tienes razon, me he fijado en las entradas del registro y no en los procesos activos, disculpa.

En realidad es bastante raro que haya vuelto a aparecer si lo habías borrado, ya que no existe ahora ninguna entrada de registro que lo arranque, vamos a eliminarlo en el reboot a ver que hace.

Ejecuta el HJT >> open the misc tools section >> delete a file on reboot >> selecciona este archivo inmortal a ver si aguanta este corte de cabeza.

Acepta >> elimina todos los archivos temporales antes de reiniciar >> reinicia y vamos a ver si sigue ahí.

Postea otro log después de reiniciar
 
L

lucvan22

Guest
#9
hooolas!! oie io también tengo el mismo problema con p6.exe :( ... como hacen para borrarloo?
 

kenzore

Nuevo Miembro
Miembro
#11
Ejecuta el HJT >> open the misc tools section >> delete a file on reboot >> selecciona este archivo inmortal a ver si aguanta este corte de cabeza.

Acepta >> elimina todos los archivos temporales antes de reiniciar >> reinicia y vamos a ver si sigue ahí.
;)
:confused: Hola Alnitak hice lo que me dijiste pero mi Pc a veces se cuelga, y no me deja abrir el administrador de tareas. Que será? Ahi te dejo el log, por lo que me doy cuenta este archivo p6.exe tiene varias cabezas. Pues volvio a aparecer.

Logfile of HijackThis v1.99.0

Scan saved at 4:35:47p.m., on 28/01/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\crypserv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\niSvcLoc.exe

C:\ARCHIV~1\THEHAC~1\THD32.EXE

C:\ARCHIV~1\THEHAC~1\THSM.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe

C:\ARCHIV~1\THEHAC~1\THAV.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\INS\VitalAgent\Program\VtlAgent.exe

C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es-la\msnappau.exe

C:\WINDOWS\System32\p6.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Documents and Settings\ALEXANDER\Escritorio\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Archivos de programa\Copernic Agent\CopernicAgentExt.dll

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM\..\Run: [THEHACKERCONSOLA] C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE

O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\evntsvc.exe -osboot

O4 - HKLM\..\RunServices: [T_H_S_M] C:\ARCHIV~1\THEHAC~1\THSM.EXE

O4 - HKLM\..\RunServices: MSNPluginSvrcs C:\WINDOWS\System32\p6.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Realizar la búsqueda utilizando Copernic Agent - C:\Archivos de programa\Copernic Agent\Web\SearchExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Ejecutar Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F0ACF641-E7E7-4379-9B68-2BD4151A7C53}: NameServer = 200.110.2.40,200.110.24.4

O20 - AppInit_DLLs: PAVWAIT.DLL

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NILM License manager - Macrovision Corporation - C:\Archivos de programa\National Instruments\shared\License Manager\Bin\lmgrd.exe

O23 - Service: NI Service Locator - National Instruments - C:\WINDOWS\System32\niSvcLoc.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: The Hacker Antivirus - Hacksoft s.r.l. - C:\ARCHIV~1\THEHAC~1\THD32.EXE

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: The Hacker Service Manager - Hacksoft - C:\ARCHIV~1\THEHAC~1\THSM.EXE

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

alnitak

Ex-Admin
Miembro
#12
Ese maldito p6.exe no se muere con nada :)

Por favor, enviame una copia del archivo p6.exe a mi correo:

alnitak@trucoswindows.net

Ahora vamos a intentar algo "muy imaginativo", desactiva la opción de restaurar el sistema si la has vuelto a activar (aunque imagino que la tendrás todavia desactivada ) reinicia el sistema en modo seguro, copia el archivo notepad.exe (que es el bloc de notas) en C:\ después renombralo como p6.exe, ahora cortalo y pegalo en la carpeta C:\WINDOWS\System32\ sobrescribiendo el bicho, ejecuta el HJT y limpia esta entrada:

O4 - HKLM\..\RunServices: MSNPluginSvrcs C:\WINDOWS\System32\p6.exe

Despuésreinicia a ver si ahora en lugar de iniciarse el bicho se inicia el bloc de notas.

Te aconsejo que desinstales Panda o cualquier otro antivirus que tengas instalado y te pases a Kaspersky, si ya habías desinstalado panda previamente(como creo) entonces en el HJT revisa también esta entrada que te ha dejado:

O20 - AppInit_DLLs: PAVWAIT.DLL
 

kenzore

Nuevo Miembro
Miembro
#13
Ese maldito p6.exe no se muere con nada :)

Por favor, enviame una copia del archivo p6.exe a mi correo:

alnitak@trucoswindows.net

Ahora vamos a intentar algo "muy imaginativo", desactiva la opción de restaurar el sistema si la has vuelto a activar (aunque imagino que la tendrás todavia desactivada ) reinicia el sistema en modo seguro, copia el archivo notepad.exe (que es el bloc de notas) en C:\ después renombralo como p6.exe, ahora cortalo y pegalo en la carpeta C:\WINDOWS\System32\ sobrescribiendo el bicho, ejecuta el HJT y limpia esta entrada:

O4 - HKLM\..\RunServices: MSNPluginSvrcs C:\WINDOWS\System32\p6.exe

Despuésreinicia a ver si ahora en lugar de iniciarse el bicho se inicia el bloc de notas.

Te aconsejo que desinstales Panda o cualquier otro antivirus que tengas instalado y te pases a Kaspersky, si ya habías desinstalado panda previamente(como creo) entonces en el HJT revisa también esta entrada que te ha dejado:

O20 - AppInit_DLLs: PAVWAIT.DLL
Alnitak, todavia tengo desactivada la opción RESTAURAR SISTEMA. Ah tambien

utilizo el Panda pero solo como antivirus online desde la web.

Sobre el Antivirus Kaspersky, no se donde lo consigo, aquí en Peru no lo he

visto mucho. Solo lo tienen como pirata, no el original.

Una cosita mas cuando elimino el p6.exe de forma manual y también utilizando el

hijackthis, éste p6 se elimina pero vuelve a aparecer después de unos 20

minutos aprox. Mi pregunta es: Antes de que vuelva a aprecer, puedo realizar

ese método IMAGINATIVO que me diste? Es decir entro al modo seguro, copio el

notepad.exe en c:\, luego lo renombro como p6.exe y lo corto y lo pego en

c:\Windows\System32

Aqui ya no estaría sobreesribiendo nada pues ese p6.exe todavia no aparece pero

en el momento en que lo haga, que sucederá? Sobreescribirá al p6.exe que

renombre con el notepad?

Puedo hacer eso?

GRACIAS

PD: Kaspersky por lo que me recomiendas, debe ser un muy buen antivirus, pero

habrá en español?
 
A

Arwing

Guest
#14
El método imaginativo realízalo cuando vuelva a aparecer el p6.exe. En sí lo que vas a hacer es crear un archivo Dummy, es decir, crear un archivo falso para que aquél programa escondido que hace que vuelva a aparecer el p6.exe, piense que ya existe y no siga colocando el malware.

Hazlo, y después de algúnos reinicios ejecuta el p6.exe, que debes haber creado con el método imaginativo y se debería abrir el notepad.

Hazlo y nos dices.

Arwing
 

zErOptic

Nuevo Miembro
Miembro
#15
Yo también tengo el mismo problema.Este gusano P6.exe es demasiado persistente, no se que hacer con él, le he pasado todo Anti Virus, ahora me encuentro con el Kaspersky, obviamente lo ha encontrado e identificado pero aún regresado, anteriomente a instalarme el Kaspersky, formateé mi pc varias veces , sin ningún logro, este gusano volvia , entonces pensé que talvez estaba en mi segunda partición, y no tuve mas opción que formatear pero antes queme todo lo que tenia, así que deje limpio por completo mi pc, empezé a instalar lo mas importante: drivers, Parches, Microsoft Word, FireFox, MSN, Winamp, miRC... Esos son Softwares confiables. Me dije que si fue algún software entonces no lo tendria aún ya que no he instalado programas desconocidos, pero este gusando empezó a apparecer, me di cuenta cuando empeze a jugar un Juego oNline ( Counter-Strike) ya que este gusano consumia mi ancho de banda y no podia jugar, entonces poco después aparecio en el Task Manager y se encontraba en Auto Run, con el cual lo vi mediante el Reg Cleaner. Saturó todo y mi Task Manager tambien. Pero lo mas raro es que cuando eliminaba del Registro y no aparecia nada en el Task Manager acerca del P6.exe, aun la pc se colgaba.Espero también poder ayudar con los diagnosticos de este gran virus.

PD: Cuando pase el Kaspersky detecto varios virus con su misma caracteristica del p6.exe, parece que no le gusta trabajar solo al gusano. :confused:

Actulizado: Despuésde instalar el Agnitum y el Kaspersky todo fue bien. El Kaspersky elimino el Gusando y el Agnitum esta blokeando la entrada y salida que saturaba mi pc por la NetBios.
 

kenzore

Nuevo Miembro
Miembro
#16
El método imaginativo realízalo cuando vuelva a aparecer el p6.exe. En sí lo que vas a hacer es crear un archivo Dummy, es decir, crear un archivo falso para que aquél programa escondido que hace que vuelva a aparecer el p6.exe, piense que ya existe y no siga colocando el malware.

Hazlo, y después de algúnos reinicios ejecuta el p6.exe, que debes haber creado con el método imaginativo y se debería abrir el notepad.

Hazlo y nos dices.

Arwing
Arwing, ese maldito p6.exe aun no ha vuelto pero se que lo hará pues lo ha hecho muchas veces, lo estoy esperando para realizar ese metodo imaginativo.
 

The Hack Master

Nuevo Miembro
Miembro
#17
Ese archivo p6.exe, yo también lo tuve pero lo eliminé. Antes que nada dime que antivirus tienes? Utilizas firewal?...

Bueno lo digo, pues podrías enviar una muestra de ese archivo p6.exe a tu proveedor de antivirus, estoy seguro que ellos te enviaran un archivo de actualizacion para que elimines ese virus, pues es un virus de nombre backdoor/Rbot.gen (bueno el nombre depende de cada antivirus).

Por ahora utiliza un antivirus en linea como el Panda (www.pandasoftware.es/activescan) Veras que te eliminara ese virus al menos momentaneamente hasta que actualices tu antivirus en tu PC. Pruebalo luego me cuentas.

Suerte
 

kenzore

Nuevo Miembro
Miembro
#18
Ese maldito p6.exe no se muere con nada :)

Por favor, enviame una copia del archivo p6.exe a mi correo:

alnitak@trucoswindows.net

Ahora vamos a intentar algo "muy imaginativo", desactiva la opción de restaurar el sistema si la has vuelto a activar (aunque imagino que la tendrás todavia desactivada ) reinicia el sistema en modo seguro, copia el archivo notepad.exe (que es el bloc de notas) en C:\ después renombralo como p6.exe, ahora cortalo y pegalo en la carpeta C:\WINDOWS\System32\ sobrescribiendo el bicho, ejecuta el HJT y limpia esta entrada:

O4 - HKLM\..\RunServices: MSNPluginSvrcs C:\WINDOWS\System32\p6.exe

Despuésreinicia a ver si ahora en lugar de iniciarse el bicho se inicia el bloc de notas.

Te aconsejo que desinstales Panda o cualquier otro antivirus que tengas instalado y te pases a Kaspersky, si ya habías desinstalado panda previamente(como creo) entonces en el HJT revisa también esta entrada que te ha dejado:

O20 - AppInit_DLLs: PAVWAIT.DLL
Alnitak, ya realicé ese método imaginativo como me dijiste. Copie el bloc de notas, lo sobreescribi con nombre p6.exe, lo corté y pegué sobreescribiendo ese bicho. Ahora al momento de ejecutar el Hijackthis el log no muestra lo que me indicas:

O4 - HKLM\..\RunServices: MSNPluginSvrcs C:\WINDOWS\System32\p6.exe

Como veras, se esta camuflando muy bien.

Reinicie mi Pc y busqué en c:\WINDOWS\System32 el archivo p6.exe, lo encontré ya no con el icono de la pantalla blanca (comun para los archivos exe) sino ahora estaba con el icono del bloc de notas.
 

kenzore

Nuevo Miembro
Miembro
#19
El método imaginativo realízalo cuando vuelva a aparecer el p6.exe. En sí lo que vas a hacer es crear un archivo Dummy, es decir, crear un archivo falso para que aquél programa escondido que hace que vuelva a aparecer el p6.exe, piense que ya existe y no siga colocando el malware.

Hazlo, y después de algúnos reinicios ejecuta el p6.exe, que debes haber creado con el método imaginativo y se debería abrir el notepad.

Hazlo y nos dices.

Arwing
Arwing hice lo que me dijiste, después de varios reinicios, ejecute el p6.exe y se abrió el bloc de notas. Ahora ahi termina? O tengo que esperar si vuelve el virus?
 

alnitak

Ex-Admin
Miembro
#20
En algúna parte de tu sistema tienes probablemente algún troyano que comprueba la existencia del p6.exe y de no existir lo vuelve a crear. Por esta razón asumo que al existir un archivo p6.exe que no es mas que el bloc de notas renombrado tu sistema podría volver a la normalidad en la espera de que algún antivirus empiece a detectar al responsable de crear el archivo p6.exe y lo pueda eliminar.

Obviamente es nada mas una suposición porque al no salir nada en el log se nos hace imposible ayudarte de manera mas efectiva. :(
 
Estado
Cerrado para nuevas respuestas
Arriba Pie