creo q son varios virus....alguien m ayuda?

Estado
Cerrado para nuevas respuestas

vitxy

Nuevo Miembro
Miembro
#1
Hola, llevo unos días con el pc con problemas.He estado investigando un poco x inet y creo que son varios los virus que tengo..... Ya borre un archivo llamado slvchost.exe , pero no se que mas sobra.

este es eel resultado de hijackthis.

El antivirus no para de darme alertas de amenazas y virus borrados:Win32.Korgo.s entre otros.

Gracias por la ayuda prestada
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.2

Scan saved at 23:32:13, on 19/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\MSN.exe

C:\WINDOWS\System32\avscan.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\System32\realplay.exe

C:\WINDOWS\System32\winnt.exe

C:\WINDOWS\System32\aaupdt.exe

C:\WINDOWS\System32\Windows-Update.exe

C:\WINDOWS\System32\runningg.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\WINDOWS\System32\lssrv.exe

C:\WINDOWS\System32\slvchost32.exe

C:\WINDOWS\System32\msgrsv32.exe

C:\WINDOWS\System32\rpcxcntrx.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\wuauclt.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Documents and Settings\eva\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=102704 serial=dr12wex-1504397-kty lang=ES

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimE:)ll.exe AimGestA.dll 8

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [MSNer] MSN.exe

O4 - HKLM\..\Run: [Wlan Driver] avscan.exe

O4 - HKLM\..\Run: [Realplayer One] realplay.exe

O4 - HKLM\..\Run: [Microsoft Security Management] winnt.exe

O4 - HKLM\..\Run: [Microsoft Update] aaupdt.exe

O4 - HKLM\..\Run: [Windows 32 Update] Windows-Update.exe

O4 - HKLM\..\Run: [blah service] runningg.exe

O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\msgrsv32.exe

O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe

O4 - HKLM\..\Run: [slvchost] slvchost32.exe

O4 - HKLM\..\Run: [MSVsm] rpcxcntrx.exe

O4 - HKLM\..\RunServices: [Windows media service] crsss.exe

O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe

O4 - HKLM\..\RunServices: [Microsoft media services] winmplayer.exe

O4 - HKLM\..\RunServices: [Windows Media Player] hkcmd.exe

O4 - HKLM\..\RunServices: [Microsoft Wxdate] syswu32.exe

O4 - HKLM\..\RunServices: [zonealarm] removeme.exe

O4 - HKLM\..\RunServices: [Windows Media Player Update] Packard.exe

O4 - HKLM\..\RunServices: [Microsoft MsnST] msnst32.exe

O4 - HKLM\..\RunServices: [Win32 USB Driver] mvsecn.exe

O4 - HKLM\..\RunServices: [Windows 32 Update] Windows-Update.exe

O4 - HKLM\..\RunServices: [MSNer] MSN.exe

O4 - HKLM\..\RunServices: [Wlan Driver] avscan.exe

O4 - HKLM\..\RunServices: [Microsoft WinTST] msntst.exe

O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe

O4 - HKLM\..\RunServices: [Microsoft Security Management] winnt.exe

O4 - HKLM\..\RunServices: [Microsoft Update] aaupdt.exe

O4 - HKLM\..\RunServices: [Microsoft Update Machine] wuamgrd.exe

O4 - HKLM\..\RunServices: [blah service] runningg.exe

O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe

O4 - HKLM\..\RunServices: [MSVsm] rpcxcntrx.exe

O4 - HKLM\..\RunOnce: [MSNer] MSN.exe

O4 - HKLM\..\RunOnce: [Wlan Driver] avscan.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSNer] MSN.exe

O4 - HKCU\..\Run: [Wlan Driver] avscan.exe

O4 - HKCU\..\Run: [Microsoft Update] aaupdt.exe

O4 - HKCU\..\Run: [Windows 32 Update] Windows-Update.exe

O4 - HKCU\..\RunServices: [Windows 32 Update] Windows-Update.exe

O4 - HKCU\..\RunOnce: [MSNer] MSN.exe

O4 - HKCU\..\RunOnce: [Wlan Driver] avscan.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...bda8f616b0d1788

O17 - HKLM\System\CCS\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{8C62F8A7-D9D1-46CD-8CFD-2AC1A3A27E6B}: NameServer = 80.58.34.33 80.58.4.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{C72C00D1-C25A-4131-B1E3-1615BB4AFB4E}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{CFA3BBE3-2FE3-45E6-9FDB-EDD021BB1D2B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254
 

alnitak

Ex-Admin
Miembro
#2
Actualiza tu antivirus.

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos: Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema: Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro: Como reiniciar a prueba de fallos

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

De existir termina cada uno estos procesos:
Insertar CODE, HTML o PHP:
C:\WINDOWS\System32\MSN.exe
C:\WINDOWS\System32\avscan.exe
C:\WINDOWS\System32\realplay.exe
C:\WINDOWS\System32\winnt.exe
C:\WINDOWS\System32\aaupdt.exe
C:\WINDOWS\System32\Windows-Update.exe
C:\WINDOWS\System32\runningg.exe
C:\WINDOWS\System32\lssrv.exe
C:\WINDOWS\System32\slvchost32.exe
C:\WINDOWS\System32\msgrsv32.exe
C:\WINDOWS\System32\rpcxcntrx.exe
Cierra el administrador de tareas y vuélvelo a abrir para asegurarte que esos procesos ya no estén.

Abre el editor de registro: Inicio>>ejecutar>>escribes regedit y aceptas

Respáldalo salvándolo como archivo: Selecciona Mi Pc>pica el menú archivo>exportar>asegurate que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
En el panel derecho elimina estas entradas:
Insertar CODE, HTML o PHP:
O4 - HKLM\..\Run: [MSNer] MSN.exe
O4 - HKLM\..\Run: [Wlan Driver] avscan.exe
O4 - HKLM\..\Run: [Realplayer One] realplay.exe
O4 - HKLM\..\Run: [Microsoft Security Management] winnt.exe
O4 - HKLM\..\Run: [Microsoft Update] aaupdt.exe
O4 - HKLM\..\Run: [Windows 32 Update] Windows-Update.exe
O4 - HKLM\..\Run: [blah service] runningg.exe
O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\msgrsv32.exe
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\Run: [slvchost] slvchost32.exe
O4 - HKLM\..\Run: [MSVsm] rpcxcntrx.exe
Navega el registro hasta encontrar y seleccionar la rama: HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\
En el panel derecho elimina estas entradas:
Insertar CODE, HTML o PHP:
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunServices: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\RunServices: [Windows Media Player] hkcmd.exe
O4 - HKLM\..\RunServices: [Microsoft Wxdate] syswu32.exe
O4 - HKLM\..\RunServices: [zonealarm] removeme.exe
O4 - HKLM\..\RunServices: [Windows Media Player Update] Packard.exe
O4 - HKLM\..\RunServices: [Microsoft MsnST] msnst32.exe
O4 - HKLM\..\RunServices: [Win32 USB Driver] mvsecn.exe
O4 - HKLM\..\RunServices: [Windows 32 Update] Windows-Update.exe
O4 - HKLM\..\RunServices: [MSNer] MSN.exe
O4 - HKLM\..\RunServices: [Wlan Driver] avscan.exe
O4 - HKLM\..\RunServices: [Microsoft WinTST] msntst.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [Microsoft Security Management] winnt.exe
O4 - HKLM\..\RunServices: [Microsoft Update] aaupdt.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wuamgrd.exe
O4 - HKLM\..\RunServices: [blah service] runningg.exe
O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe
O4 - HKLM\..\RunServices: [MSVsm] rpcxcntrx.exe
Navega el registro hasta encontrar y seleccionar la rama: HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\

En el panel derecho elimina estas entradas:
O4 - HKLM\..\RunOnce: [MSNer] MSN.exe
O4 - HKLM\..\RunOnce: [Wlan Driver] avscan.exe

Cada usuario dispone de un área en el registro de la forma HKEY_CURRENT_USER\. Por cada usuario(ósea sigue todas las instrucciones hasta el final con el usuario que estás usando y después vuelves a entrar al sistema en modo seguro desde cada cuenta de usuario que exista en tu sistema) sigue las siguientes instrucciones para editar el registro.

Navega el registro hasta encontrar y seleccionar la rama: HKY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\

En el panel derecho elimina estas entradas:
Insertar CODE, HTML o PHP:
O4 - HKCU\..\Run: [MSNer] MSN.exe
O4 - HKCU\..\Run: [Wlan Driver] avscan.exe
O4 - HKCU\..\Run: [Microsoft Update] aaupdt.exe
O4 - HKCU\..\Run: [Windows 32 Update] Windows-Update.exe
Navega el registro hasta encontrar y seleccionar la rama:HKY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

En el panel derecho elimina estas entradas:
Insertar CODE, HTML o PHP:
O4 - HKCU\..\RunServices: [Windows 32 Update] Windows-Update.exe
Navega el registro hasta encontrar y seleccionar la rama:HKY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\

En el panel derecho elimina estas entradas:
Insertar CODE, HTML o PHP:
O4 - HKCU\..\RunOnce: [MSNer] MSN.exe
O4 - HKCU\..\RunOnce: [Wlan Driver] avscan.exe
Ya puedes cerrar el editor de registro.

Inicia el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas(las que todavía estén presentes, solo debería quedar la ultima) y dale a fix:
Insertar CODE, HTML o PHP:
O4 - HKLM\..\Run: [MSNer] MSN.exe
O4 - HKLM\..\Run: [Wlan Driver] avscan.exe
O4 - HKLM\..\Run: [Realplayer One] realplay.exe
O4 - HKLM\..\Run: [Microsoft Security Management] winnt.exe
O4 - HKLM\..\Run: [Microsoft Update] aaupdt.exe
O4 - HKLM\..\Run: [Windows 32 Update] Windows-Update.exe
O4 - HKLM\..\Run: [blah service] runningg.exe
O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\msgrsv32.exe
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\Run: [slvchost] slvchost32.exe
O4 - HKLM\..\Run: [MSVsm] rpcxcntrx.exe
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunServices: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\RunServices: [Windows Media Player] hkcmd.exe
O4 - HKLM\..\RunServices: [Microsoft Wxdate] syswu32.exe
O4 - HKLM\..\RunServices: [zonealarm] removeme.exe
O4 - HKLM\..\RunServices: [Windows Media Player Update] Packard.exe
O4 - HKLM\..\RunServices: [Microsoft MsnST] msnst32.exe
O4 - HKLM\..\RunServices: [Win32 USB Driver] mvsecn.exe
O4 - HKLM\..\RunServices: [Windows 32 Update] Windows-Update.exe
O4 - HKLM\..\RunServices: [MSNer] MSN.exe
O4 - HKLM\..\RunServices: [Wlan Driver] avscan.exe
O4 - HKLM\..\RunServices: [Microsoft WinTST] msntst.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [Microsoft Security Management] winnt.exe
O4 - HKLM\..\RunServices: [Microsoft Update] aaupdt.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wuamgrd.exe
O4 - HKLM\..\RunServices: [blah service] runningg.exe
O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe
O4 - HKLM\..\RunServices: [MSVsm] rpcxcntrx.exe
O4 - HKLM\..\RunOnce: [MSNer] MSN.exe
O4 - HKLM\..\RunOnce: [Wlan Driver] avscan.exe
O4 - HKCU\..\Run: [MSNer] MSN.exe
O4 - HKCU\..\Run: [Wlan Driver] avscan.exe
O4 - HKCU\..\Run: [Microsoft Update] aaupdt.exe
O4 - HKCU\..\Run: [Windows 32 Update] Windows-Update.exe
O4 - HKCU\..\RunServices: [Windows 32 Update] Windows-Update.exe
O4 - HKCU\..\RunOnce: [MSNer] MSN.exe
O4 - HKCU\..\RunOnce: [Wlan Driver] avscan.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...bda8f616b0d1788
Elimina estos archivos:
Insertar CODE, HTML o PHP:
C:\WINDOWS\System32\MSN.exe
C:\WINDOWS\System32\avscan.exe
C:\WINDOWS\System32\realplay.exe
C:\WINDOWS\System32\winnt.exe
C:\WINDOWS\System32\aaupdt.exe
C:\WINDOWS\System32\Windows-Update.exe
C:\WINDOWS\System32\runningg.exe
C:\WINDOWS\System32\lssrv.exe
C:\WINDOWS\System32\slvchost32.exe
C:\WINDOWS\System32\msgrsv32.exe
C:\WINDOWS\System32\rpcxcntrx.exe
mvsecn.exe
msnst32.exe
Packard.exe
removeme.exe
syswu32.exe
hkcmd.exe
crsss.exe
winmplayer.exe
winnt.exe
wuamgrd.exe
Vacia la papelera de reciclaje y después ejecuta un escaneo completo con tu antivirus

Reinicia normalmente, reactiva la opción de restaurar el sistema y postea otro log.
 

vitxy

Nuevo Miembro
Miembro
#3
Bueno, ya toy aquí con los ojos to llorosos..... pero creo que ha merecido la pena.

Ya lo hice todo lo que dijiste,solo una cosita que no encontre.

cuando me dijiste eliminar archivos, hay algunos que no encontré(d los que no especificas rutas) te los señalo:

Elimina estos archivos:
Insertar CODE, HTML o PHP:
C:\WINDOWS\System32\MSN.exe

C:\WINDOWS\System32\avscan.exe

C:\WINDOWS\System32\realplay.exe

C:\WINDOWS\System32\winnt.exe

C:\WINDOWS\System32\aaupdt.exe

C:\WINDOWS\System32\Windows-Update.exe

C:\WINDOWS\System32\runningg.exe

C:\WINDOWS\System32\lssrv.exe

C:\WINDOWS\System32\slvchost32.exe

C:\WINDOWS\System32\msgrsv32.exe

C:\WINDOWS\System32\rpcxcntrx.exe

mvsecn.exe   -no encontrado-  

msnst32.exe

Packard.exe   -no encontrado-

removeme.exe   -no encontrado-

syswu32.exe  -no encontrado-

hkcmd.exe

crsss.exe   -no encontrado-

winmplayer.exe

winnt.exe   -no encontrado-

wuamgrd.exe
También comentarte que el antivirus me detecta algo sobre publicidad no deseada, pero ahora no sabría decirte el nombre de la amenaza. Bueno te dejo el nuevo log, no sin antes darte las graciaspor tu ayuda, creo que vas a ser mi nuevo idolo!!!
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.2

Scan saved at 3:12:57, on 20/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\wuauclt.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Archivos de programa\Symantec\LiveUpdate\ALUNOTIFY.EXE

C:\Documents and Settings\eva\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=102704 serial=dr12wex-1504397-kty lang=ES

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimE:)ll.exe AimGestA.dll 8

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{8C62F8A7-D9D1-46CD-8CFD-2AC1A3A27E6B}: NameServer = 80.58.34.33 80.58.4.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{C72C00D1-C25A-4131-B1E3-1615BB4AFB4E}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{CFA3BBE3-2FE3-45E6-9FDB-EDD021BB1D2B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254
 

alnitak

Ex-Admin
Miembro
#4
No ha quedado ninguno activo. Los que no has encontrado pueden ser restos de infecciones anteriores así que no hay problema, lo mismo vale para la publicidad no deseada, puedes tener restos de infecciones anteriores pero ningún malware está activo así que no deberías tener ningún problema con publicidad no deseada.

Es algo insolito ver tanta basura junta en un sistema operativo, trata de mantener activado el modulo residente de tu antivirus y no te andes abriendo cada archivo que te envian por correo o por el messenger
 

vitxy

Nuevo Miembro
Miembro
#5
"Es algo insolito ver tanta basura junta en un sistema operativo, trata de mantener activado el modulo residente de tu antivirus y no te andes abriendo cada archivo que te envian por correo o por el messenger "

Pos la verdad no se como llego eso ahi. El equipo esta recien formateado..estuvo funcionando bien un par de dias, en los que no hice nada raro.m imagino que habra sido al ir a actualizar el antivirus después de formatear.....

Por ultimo, comentarte que todo anda mucho mejor, pero se m sigue colgando la barra de tareas. M han comentado que puede ser que siga teniendo algo x ahi. Creo que lei algo de eso pero no recuerdo si fue en el foro.Lo mirare a ver si lo encuentro.Grcias!!!!
 

alnitak

Ex-Admin
Miembro
#6
Ve eliminando desde la configuración de arranque procesos legales pero que no pintan nada alli, empezando por el messenger que deberias configurar para que no arranque con el sistema operativo (a no ser que seas de aquellos que viven con el messenger abierto)

Otros procesos inulites en el arranque son el Nero, el Winamp y el registro de CorelDRAW, puedes desactivarlos desde:

Inicio > ejecutar > escribes msconfig y aceptas > en la pestaña inicio desmarcas el Nero y el Winamp

Menos procesos activos, menos problemas y mas fácil buscar el culpable de los problemas que queden
 

vitxy

Nuevo Miembro
Miembro
#7
Jooo, ya toy aquí de nuevo. Espero no estar abusando de vuestra ayuda, pero es que vuelvo a tener problemas en el pc...

LLevo toda la mañana intentando colgar esto en la pagina, a ver si ahora m va.

Cuando reinicio se me abre una ventana del explorer _Media tickets home pag www.angelfire.com creep/beanster0/index.html_ Comentar que tengo como predeterminado el mozilla firefox.

El msn también me da problemas para conectar, aunque ya se me lee.

En msconfig/ inicio se carga lo siguiente:
Insertar CODE, HTML o PHP:
Ati2md.exe

atiptaxx.exe

SOUNDMAN.exe

NeroCheck.exe

ccApp.exe

winampa.exe

justched.exe

AimE:)ll.exe

UsPrmpt.exe

servize.exe

atiphexx.exe

mnsvc32.exe

removeme.exe

vpc32.exe

ctfmon.exe

Msnmsgr.exe

removeme.exe

atiphexx.exe

vpc32.exe

Adobe Gamma Loader.exe
Bueno, dejo otro log actual a ver que hay ahora......:
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.2

Scan saved at 17:46:14, on 20/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\removeme.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\System32\servize.exe

C:\WINDOWS\System32\atiphexx.exe

C:\WINDOWS\System32\mnsvc32.exe

C:\WINDOWS\System32\vpc32.exe

C:\WINDOWS\System32\Botnet.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\WINDOWS\System32\wuauclt.exe

c:\lxass.exe

C:\Archivos de programa\Windows NT\Accesorios\WORDPAD.EXE

C:\Documents and Settings\eva\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=102704 serial=dr12wex-1504397-kty lang=ES

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimE:)ll.exe AimGestA.dll 8

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Microsoft Update Machines] servize.exe

O4 - HKLM\..\Run: [ati control panel] atiphexx.exe

O4 - HKLM\..\Run: [NAV Update] mnsvc32.exe

O4 - HKLM\..\Run: [zonealarm] removeme.exe

O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe

O4 - HKLM\..\Run: [Microsoft Updates] Botnet.exe

O4 - HKLM\..\RunServices: [Microsoft Update Machines] servize.exe

O4 - HKLM\..\RunServices: [ati control panel] atiphexx.exe

O4 - HKLM\..\RunServices: [NAV Update] mnsvc32.exe

O4 - HKLM\..\RunServices: [zonealarm] removeme.exe

O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe

O4 - HKLM\..\RunServices: [Microsoft Updates] Botnet.exe

O4 - HKLM\..\RunOnce: [zonealarm] removeme.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [zonealarm] removeme.exe

O4 - HKCU\..\Run: [ati control panel] atiphexx.exe

O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

O4 - HKCU\..\RunOnce: [zonealarm] removeme.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{8C62F8A7-D9D1-46CD-8CFD-2AC1A3A27E6B}: NameServer = 80.58.34.33 80.58.4.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{C72C00D1-C25A-4131-B1E3-1615BB4AFB4E}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{CFA3BBE3-2FE3-45E6-9FDB-EDD021BB1D2B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254
 

alnitak

Ex-Admin
Miembro
#8
Hola. Si dispones de un punto de restauración de ayer, osea anterior a los nuevos problemas, puedes intentar usarlo, si no dispones de un punto de restauración sigue las siguientes instrucciones:

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos: Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema: Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro: Como reiniciar a prueba de fallos

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

De existir termina cada uno estos procesos:
Insertar CODE, HTML o PHP:
C:\WINDOWS\System32\removeme.exe

C:\WINDOWS\System32\servize.exe

C:\WINDOWS\System32\atiphexx.exe

C:\WINDOWS\System32\mnsvc32.exe

C:\WINDOWS\System32\vpc32.exe

C:\WINDOWS\System32\Botnet.exe
Cierra el administrador de tareas y vuélvelo a abrir para asegurarte que esos procesos ya no estén.

Abre el editor de registro:Inicio>>ejecutar>>escribes regedit y aceptas

Respáldalo salvándolo como archivo:Selecciona Mi Pc>pica el menú archivo>exportar>asegurate que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama: HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina estas entradas:
Insertar CODE, HTML o PHP:
[Microsoft Update Machines] servize.exe

[ati control panel] atiphexx.exe

[NAV Update] mnsvc32.exe

[zonealarm] removeme.exe

[Microsoft Update] vpc32.exe

[Microsoft Updates] Botnet.exe
Navega el registro hasta encontrar y seleccionar la rama: HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

En el panel derecho elimina estas entradas:
Insertar CODE, HTML o PHP:
[Microsoft Update Machines] servize.exe

[ati control panel] atiphexx.exe

[NAV Update] mnsvc32.exe

[zonealarm] removeme.exe

[Microsoft Update] vpc32.exe

[Microsoft Updates] Botnet.exe
Navega el registro hasta encontrar y seleccionar la rama:HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\[/CODE]

En el panel derecho elimina estas entradas:
[CODE][zonealarm] removeme.exe[/CODE]
Cada usuario dispone de un área en el registro de la forma [ICODE]HKEY_CURRENT_USER\
. Por cada usuario(ósea sigue todas las instrucciones hasta el final con el usuario que estás usando y después vuelves a entrar al sistema en modo seguro desde cada cuenta de usuario que exista en tu sistema) sigue las siguientes instrucciones para editar el registro.:

Navega el registro hasta encontrar y seleccionar la rama:HKY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\

En el panel derecho elimina estas entradas:
Insertar CODE, HTML o PHP:
[CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

[MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

[zonealarm] removeme.exe

[ati control panel] atiphexx.exe

[Microsoft Update] vpc32.exe
Navega el registro hasta encontrar y seleccionar la rama: HKY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\

En el panel derecho elimina estas entradas:
Insertar CODE, HTML o PHP:
[zonealarm] removeme.exe
Ya puedes cerrar el editor de registro.

Elimina estos archivos:
Insertar CODE, HTML o PHP:
C:\WINDOWS\System32\removeme.exe

C:\WINDOWS\System32\servize.exe

C:\WINDOWS\System32\atiphexx.exe

C:\WINDOWS\System32\mnsvc32.exe

C:\WINDOWS\System32\vpc32.exe

C:\WINDOWS\System32\Botnet.exe
Elimina los archivos temporales y cookies (ojo, no solamente los archivos temporales de Internet sino también los de sistema), hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner: Disk Cleaner

Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Escanéate con tu antivirus

Reinicia normalmente, reactiva la opción de restaurar el sistema y postea otro log.

Actualiza tu sistema a través del Windows update
 

vitxy

Nuevo Miembro
Miembro
#9
Bueno, una vez mas vuelvo con la tarea hecha.

Curioseando un poco x el editor de registro, he visto otras rutas en las que hay archivos de los que había que eliminar, pero como no sabia si ese era su sitio, los he dejao (mas vale preguntar antes).Pongo las rutas:
Insertar CODE, HTML o PHP:
HKEY_USERS/.DEFAULT/ SYSTEM/CurrentVersion/Control/Lsa

       Windows 32 Update - Windows-Update.exe

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/control/Lsa

       Windows 32 Update - Windows-Update.exe

       Windows Media Player - hkcmd.exe

       Windows Media Player Update - Packard.exe

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/control/Lsa

       Windows 32 Update - Windows-Update.exe

       Windows Media Player - hkcmd.exe

       Windows Media Player Update - Packard.exe

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet/control/Lsa

       Windows 32 Update - Windows-Update.exe

       Windows Media Player - hkcmd.exe

       Windows Media Player Update - Packard.exe
Cuando fui a las rutas que indicaste no estaba todo lo que pusiste, en cambio encontré algúnos archivos que se supone estaban borrados de la vez anterior, así que los elimine

Le pase el antivirus y me dio el siguiente resultado:
Insertar CODE, HTML o PHP:
no pudo eliminar - fsq 4140.exe - Adware. Gator

se elimino - lxass.exe - SecuriryRisk.Downldr

               - W32 Korgo.V
Una duda, lo de respaldar salvando como archivo el editor de registro es importante?.... esta vez se me paso hacerlo :S

Ale, pos aquí cuelgo mi nuevo log....creo que hoy también me daran las tantas ...:
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.98.2

Scan saved at 1:07:39, on 21/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\symantec32.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\Windows NT\Accesorios\wordpad.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Documents and Settings\eva\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=102704 serial=dr12wex-1504397-kty lang=ES

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimE:)ll.exe AimGestA.dll 8

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Symantec Anti Virus] symantec32.exe

O4 - HKLM\..\RunServices: [Symantec Anti Virus] symantec32.exe

O4 - HKLM\..\RunOnce: [Symantec Anti Virus] symantec32.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Symantec Anti Virus] symantec32.exe

O4 - HKCU\..\RunOnce: [Symantec Anti Virus] symantec32.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{8C62F8A7-D9D1-46CD-8CFD-2AC1A3A27E6B}: NameServer = 80.58.34.33 80.58.4.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{C72C00D1-C25A-4131-B1E3-1615BB4AFB4E}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{CFA3BBE3-2FE3-45E6-9FDB-EDD021BB1D2B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254
 

alnitak

Ex-Admin
Miembro
#10
respaldar el registro es importante por si te equivocas a la hora de borrar ya que los cambios en el registro se hacen efectivos de inmediato y no se pueden deshacer. Si tu sistema ha quedado bien ya puedes borrar los respaldos y mejor hazlo ya que no queremos restaurar las entradas de los gusanos.

Tu sistema no queda limpio, me parece que en algúna parte de tu sistema debe estar un trojan/downloader que te va bajando e instalando mas y mas mierda pero no sale en el log y bien pudo haber sido ese lxass.exe, o este gusano se anda multiplicando y no alcanzamos a limpiar todas las entradas. Manten activada en todo momento la protección de tu antivirus, asegúrate de tener instaladas lasultimas actualizaciones criticas para XP y ahora remueve estas entradas:
Insertar CODE, HTML o PHP:
O4 - HKLM\..\Run: [Symantec Anti Virus] symantec32.exe

O4 - HKLM\..\RunServices: [Symantec Anti Virus] symantec32.exe

O4 - HKLM\..\RunOnce: [Symantec Anti Virus] symantec32.exe

O4 - HKCU\..\Run: [Symantec Anti Virus] symantec32.exe

O4 - HKCU\..\RunOnce: [Symantec Anti Virus] symantec32.exe
siguiendo los pasos anteriores.

Cuando las vayas a remover asegúrate primero que no le haya dado tiempo al gusano de crear mas archivos tomando un log (despues de haber entrado en modo seguro) y si hay mas entradas nuevas de copias del gusano remuevelas absolutamente todas (podrás reconocerlas al comparar tu nuevo log con el actual)
 

alnitak

Ex-Admin
Miembro
#12
Puedes usar un limpiador de registro como el regcleaner o el jv16 y ejecutar una limpieza automatica de registro que con toda probabilidad eliminará esas entradas o puedes eliminarlas tu mismo pero no olvides respaldar el registro antes de meterle mano
 

vitxy

Nuevo Miembro
Miembro
#13
jeje fijate que horas.... y yo aun matando bichitos....Espero que ara si este todo eliminado de una ***** vez.

Esta vez n se m paso nada x alto, así que debería estar a prueba de algodon.En fin te dejo aquí un log calentito...... a ver que tal...... yo lo veo perfecto......y x ahora no m hizo extraños
Insertar CODE, HTML o PHP:
.Logfile of HijackThis v1.98.2

Scan saved at 3:50:16, on 21/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Documents and Settings\eva\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=102704 serial=dr12wex-1504397-kty lang=ES

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimE:)ll.exe AimGestA.dll 8

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{8C62F8A7-D9D1-46CD-8CFD-2AC1A3A27E6B}: NameServer = 80.58.34.33 80.58.4.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{C72C00D1-C25A-4131-B1E3-1615BB4AFB4E}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{CFA3BBE3-2FE3-45E6-9FDB-EDD021BB1D2B}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{05916A33-60D4-478C-8FA0-6AE7AB7B9F51}: NameServer = 80.58.61.250,80.58.61.254
 

alnitak

Ex-Admin
Miembro
#14
No ha quedado ningún malware activo, pero eso ya lo sabes no ? A esta altura ya sabrás leer logs mejor que yo :eek:

Recuerda actualizar tu sistema y tu antivirus con frecuencia B)
 

oaki

Nuevo Miembro
Miembro
#15
si ves que se te complica mucho a veces no viene mal hacer un buen formateo y dejar la pc 0km B)
 

vitxy

Nuevo Miembro
Miembro
#16
Bueno, creo que ese troyano se pasea por mi sistema como pedro por su casa y esta invitando a entrar a todo el que quiera, el caso es que no logro identificarlo

Esta mañana fui a mandar un post de lo maravilloso que era todo, que parecia que se había acabado la pesadilla, pero ahora creo que no puedo decir lo mismo :(

Creo que tendré que ir pensando en hacer lo que dices, formatear, la cuestion es que esta formateado desde hace unos 10 dias y la "cosa" me entro justo al conectarlo desde mi casa....

La verdad es que no tengo ni idea de que hacer ya, que no sea formatear, pero me mata tener que aceptar que ha ganao el troyano o lo que sea que tiene el pc!!!
 

alnitak

Ex-Admin
Miembro
#17
A ver, vamos a hacer un ultimo intento, colocame el log de arranque, para tomarlo:

Ejecuta el HijackThis > config > misc tools > marca la casilla !list empty section (complete)" > generate startuplist log

Intenta también instalar un firewall y es muy importante que tu sistema operativo esté actualizado.

Podrias intentar también cambiarte de antivirus instalando Kaspersky que le da bastante vueltas a norton y deja el real-time de tu antivirus siempre activado
 

vitxy

Nuevo Miembro
Miembro
#18
Buenas tardes!!!! hice lo del log de arranke... identifico 5 entradas chungas.....y el winampa que estoy en duda.......

esta todo actualizadoWindows, antivirus......

Prnsaba que el norton era mejor antivirus que el kaspersky.... :confused: , al menos este m ha detectao siempre mas cosillas que el K.

Weno te pongo lo que m pediste, y perdona x tardar tanto en responder, pero es que entre el lio que tengo en casa y el pc que se me cuelga........

StartupList report, 21/10/2004, 20:15:54

StartupList version: 1.52.2

Started from : C:\Documents and Settings\eva\Escritorio\HijackThis.EXE

Detected: Windows XP SP1 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

* Including empty and uninteresting sections

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\svchosting.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\System32\udpsys32.exe

C:\WINDOWS\System32\wupdate.exe

C:\WINDOWS\System32\vpc32.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\eva\Escritorio\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:

[C:\Documents and Settings\eva\Menú Inicio\Programas\Inicio]

*No files*

Shell folders AltStartup:

*Folder not found*

User shell folders Startup:

*Folder not found*

User shell folders AltStartup:

*Folder not found*

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

Shell folders Common AltStartup:

*Folder not found*

User shell folders Common Startup:

*Folder not found*

User shell folders Alternate Common Startup:

*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ATIModeChange = Ati2mdxx.exe

ATIPTA = C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

SoundMan = SOUNDMAN.EXE

NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe

ccApp = "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

WinampAgent = C:\Archivos de programa\Winamp\winampa.exe

CorelDRAW Graphics Suite 11b = C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=102704 serial=dr12wex-1504397-kty lang=ES

SunJavaUpdateSched = C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

AgenteADSL_15 = C:\Archivos de programa\Telefonica\KitAIM\AimE:)ll.exe AimGestA.dll 8

SSC_UserPrompt = C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

MsUpdater System = udpsys32.exe

Microsoft Windows Update = wupdate.exe

Win32 USB2 Driver = svchosting.exe

Microsoft Update = vpc32.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

Win32 USB2 Driver = svchosting.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\C
 

alnitak

Ex-Admin
Miembro
#19
no lo has colocado completo, hazlo por favor y acuerdate de marcar la casilla de list empty sections para ver si está asociado a algún otro ejecutable o extension
 

vitxy

Nuevo Miembro
Miembro
#20
tienes razon, no lo puse entero..... sorry. ahi va:

StartupList report, 21/10/2004, 21:37:37

StartupList version: 1.52.2

Started from : C:\Documents and Settings\eva\Escritorio\HijackThis.EXE

Detected: Windows XP SP1 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

* Including empty and uninteresting sections

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\svchosting.exe

C:\WINDOWS\System32\Messenger.exe

C:\WINDOWS\System32\svhost.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

C:\WINDOWS\System32\udpsys32.exe

C:\WINDOWS\System32\wupdate.exe

C:\WINDOWS\System32\vpc32.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\eva\Escritorio\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:

[C:\Documents and Settings\eva\Menú Inicio\Programas\Inicio]

*No files*

Shell folders AltStartup:

*Folder not found*

User shell folders Startup:

*Folder not found*

User shell folders AltStartup:

*Folder not found*

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

Shell folders Common AltStartup:

*Folder not found*

User shell folders Common Startup:

*Folder not found*

User shell folders Alternate Common Startup:

*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ATIModeChange = Ati2mdxx.exe

ATIPTA = C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

SoundMan = SOUNDMAN.EXE

NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe

ccApp = "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

WinampAgent = C:\Archivos de programa\Winamp\winampa.exe

CorelDRAW Graphics Suite 11b = C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=102704 serial=dr12wex-1504397-kty lang=ES

SunJavaUpdateSched = C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

AgenteADSL_15 = C:\Archivos de programa\Telefonica\KitAIM\AimE:)ll.exe AimGestA.dll 8

SSC_UserPrompt = C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

MsUpdater System = udpsys32.exe

Microsoft Windows Update = wupdate.exe

Win32 USB2 Driver = svchosting.exe

Microsoft Update = vpc32.exe

System driver = Messenger.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run = svhost.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

Win32 USB2 Driver = svchosting.exe

System driver = Messenger.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run = svhost.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

MsUpdater System = udpsys32.exe

Microsoft Windows Update = wupdate.exe

Win32 USB2 Driver = svchosting.exe

Microsoft Update = vpc32.exe

System driver = Messenger.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run = svhost.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

msnmsgr = "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

Microsoft Windows Update = wupdate.exe

Win32 USB2 Driver = svchosting.exe

Microsoft Update = vpc32.exe

System driver = Messenger.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run = svhost.exe

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

Win32 USB2 Driver = svchosting.exe

System driver = Messenger.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run = svhost.exe

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]

*No values found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

File association entry for .EXE:

HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:

HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:

HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:

HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:

HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:

HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINDOWS\System32\mshta.exe "%1" %*

--------------------------------------------------

File association entry for .TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:

HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*

run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\Windows: load=

HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

NAV Helper - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Analizar el equipo.job

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Java Plug-in 1.4.2_05]

InProcServer32 = C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

CODEBASE = http://java.sun.com/products/plugin/autodl...indows-i586.cab

[Java Plug-in 1.4.2_05]

InProcServer32 = C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

CODEBASE = http://java.sun.com/products/plugin/autodl...indows-i586.cab

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINDOWS\System32\mswsock.dll

NameSpace #2: C:\WINDOWS\System32\winrnr.dll

NameSpace #3: C:\WINDOWS\System32\mswsock.dll

Protocol #1: C:\WINDOWS\system32\mswsock.dll

Protocol #2: C:\WINDOWS\system32\mswsock.dll

Protocol #3: C:\WINDOWS\system32\mswsock.dll

Protocol #4: C:\WINDOWS\system32\mswsock.dll

Protocol #5: C:\WINDOWS\system32\rsvpsp.dll

Protocol #6: C:\WINDOWS\system32\rsvpsp.dll

Protocol #7: C:\WINDOWS\system32\mswsock.dll

Protocol #8: C:\WINDOWS\system32\mswsock.dll

Protocol #9: C:\WINDOWS\system32\mswsock.dll

Protocol #10: C:\WINDOWS\system32\mswsock.dll

Protocol #11: C:\WINDOWS\system32\mswsock.dll

Protocol #12: C:\WINDOWS\system32\mswsock.dll

Protocol #13: C:\WINDOWS\system32\mswsock.dll

Protocol #14: C:\WINDOWS\system32\mswsock.dll

Protocol #15: C:\WINDOWS\system32\mswsock.dll

Protocol #16: C:\WINDOWS\system32\mswsock.dll

Protocol #17: C:\WINDOWS\system32\mswsock.dll

Protocol #18: C:\WINDOWS\system32\mswsock.dll

Protocol #19: C:\WINDOWS\system32\mswsock.dll

Protocol #20: C:\WINDOWS\system32\mswsock.dll

Protocol #21: C:\WINDOWS\system32\mswsock.dll

Protocol #22: C:\WINDOWS\system32\mswsock.dll

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

Windows NT checkdisk command:

BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':

PendingFileRenameOperations: *Registry value not found*

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

End of report, 16.482 bytes

Report generated in 0,100 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list versión history only
 
Estado
Cerrado para nuevas respuestas
Arriba Pie