De nuevo infectado.

Estado
Cerrado para nuevas respuestas

hcmontana

Nuevo Miembro
Miembro
#1
Otra vez estoy infectado.

Si me pudieseis decir algún metodo eficaz para que no me vuelva a pasar, seria de gran ayuda,

Tengo firewall, pero nada.

Un saludo y gracias por solucionarnos estos pequeños problemas.

Logfile of HijackThis v1.98.0

Scan saved at 21:29:35, on 09/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\NoAds\NoAds.exe

C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\eMule\emule.exe

C:\WINDOWS\system32\winlogon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrador\Mis documentos\aplicaciones\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll

O2 - BHO: (no name) - {C6D88120-57A9-4073-A63F-79180FFADA13} - C:\WINDOWS\System32\cmg.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [BDMCon] C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDNewsAgent] C:\Archivos de programa\Softwin\BitDefender Free Edition\bdnagent.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [nstat] C:\WINDOWS\netstat.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [NoAds] "C:\Archivos de programa\NoAds\NoAds.exe"

O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\nosuch.mht!http://clubonly18.com/p4/iehelp.chm::/on-line.exe

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B69A96D-54A4-43C1-BC7A-1BD3F76E26A8}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Filter: text/html - {4A8DC86D-229F-4F48-80CB-A3E53F981F51} - C:\WINDOWS\System32\cmg.dll

O18 - Filter: text/plain - {4A8DC86D-229F-4F48-80CB-A3E53F981F51} - C:\WINDOWS\System32\cmg.dll
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola. Es otra versión del mismo Adware de la otra vez.

Fijate que el resultado es el mismo pero los nombres de los archivos son diferentes

No conozco sus métodos de infección pero esta clase de bichos suelen instalarse al aceptar la instalación de algún plug in por ejemplo en paginas de warez , paginas porno, etc.

Trata de ser prudente en tu navegación y no aceptes la instalación de plug ins de fabricantes no certificados o raros.

Bajate la ultima versión del Hijackthis:

HijackThis

Crea una nueva carpeta y salva el HijackThis en ella para que guarde ahí los respaldos, lo típico es C:\HijackThis\

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/0fa5e8fc8094b98088256aca004dcefb/47828ea8f95e786a85256d74004bf94b?OpenDocument

Reinicia el sistema en modo seguro:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/0fa5e8fc8094b98088256aca004dcefb/2eb701113550b16e88256e2b006ca965?OpenDocument

Desactiva la opción de restaurar el sistema, para hacerlo:

Tecla Ctrl + tecla de pausa>>pestaña restaurar el sistema>>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

o

Inicio>>Control Panel>>Sistema>>pestaña restaurar el sistema>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

Inicia el hijackthis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows.

Dale a Scan

Checa estas entradas y dale a Fix.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {C6D88120-57A9-4073-A63F-79180FFADA13} - C:\WINDOWS\System32\cmg.dll

O4 - HKLM\..\Run: [nstat] C:\WINDOWS\netstat.exe

O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\nosuch.mht!http://clubonly18.com/p4/iehelp.chm::/on-line.exe

O18 - Filter: text/html - {4A8DC86D-229F-4F48-80CB-A3E53F981F51} - C:\WINDOWS\System32\cmg.dll

O18 - Filter: text/plain - {4A8DC86D-229F-4F48-80CB-A3E53F981F51} - C:\WINDOWS\System32\cmg.dll

Cierra el hijackthis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner o mejor aun te lo bajas desde lla pagina del autor ya que es freeware: http://www.xs4all.nl/~mp2004 lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos:

C:\WINDOWS\netstat.exe

C:\WINDOWS\System32\cmg.dll

Reinicia normalmente y postea un nuevo log.

Posteame también el log del Startuplist siguiendo estas instrucciones:

Abre el HijackThis>>boton Config>>Misc Tools>>generate Startuplist log

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

alnitak

Ex-Admin
Miembro
#3
he recibido tu log por mensaje privado y te lo he respondido, pero por favor no me pidan ayuda por mensajes privados, usen el foro para eso.

aquí coloco una copia de la respuesta:

El log que he recibido:

Hice todo lo que me mandaste y el ultimo paso era postear el startuplist:

El unico problema es que después de hacer todo lo que me dijiste , el notepad no me carga, no se me abre, tienes idea de porque razon ?

Un saludo y muchas gracias por molestarte en ayudar.

StartupList report, 09/08/2004, 23:30:37

StartupList version: 1.52.2

Started from : C:\hijackthis\HijackThis.EXE

Detected: Windows XP SP1 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\inetdata\services.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\NoAds\NoAds.exe

C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SoundMAXPnP = C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

SoundMAX = "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

NeroCheck = C:\WINDOWS\system32\NeroCheck.exe

InCD = C:\Archivos de programa\Ahead\InCD\InCD.exe

Zone Labs Client = C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

BDMCon = C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

BDNewsAgent = C:\Archivos de programa\Softwin\BitDefender Free Edition\bdnagent.exe

QuickTime Task = "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

msnappau = "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es\msnappau.exe"

xp_system = C:\WINDOWS\inetdata\services.exe

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe

MsnMsgr = "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

NoAds = "C:\Archivos de programa\NoAds\NoAds.exe"

xp_system = C:\WINDOWS\inetdata\services.exe

--------------------------------------------------

File association entry for .SCR:

HKEY_CLASSES_ROOT\AutoCADScriptFile\shell\open\command

(Default) = "C:\WINDOWS\notepad.exe" "%1"

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*

run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\Windows: load=

HKCU\..\Windows NT\CurrentVersion\Windows: run=C:\WINDOWS\inetdata\services.exe

HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - (no file) - {5321E378-FFAD-4999-8C62-03CA8155F0B3}

(no name) - C:\Archivos de programa\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll - {9394EDE7-C8B5-483E-8773-474BF36AF6E4}

(no name) - C:\WINDOWS\System32\cmg.dll (file missing) - {C208964D-3993-41EC-B28A-189A16297D5D}

--------------------------------------------------

Enumerating Download Program Files:

[QuickTime Object]

InProcServer32 = C:\Archivos de programa\QuickTime\QTPlugin.ocx

CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[Shockwave ActiveX Control]

InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll

CODEBASE = http://download.macromedia.com/pub/shockwa...director/sw.cab

[MSN Photo Upload Tool]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll

CODEBASE = http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

CODEBASE = http://download.macromedia.com/pub/shockwa...ash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------

End of report, 7.830 bytes

Report generated in 0,047 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list versión history only
Mi respuesta

Algunos malwares redirecionan el acceso directo al bloc de notas para reinstalarse cada vez que uno lo abre:

Inicio>>todos los programas>>accesorios>>clic derecho sobre bloc de notas>>propiedades

en el campo destino debe salir esto:

%SystemRoot%\notepad.exe

Probablemente a ti te salga la dirección del malware así que cambiala por la correcta.

Estás infectado por un trojan/downloader, osea una basura de malware que te va llenando la computadora de mas basura bajandola directamente desde internet, probablemente esta sea la razon por la cual te vuelves a infectar.

las entradas correspondiente son estas:

xp_system = C:\WINDOWS\inetdata\services.exe

Mas informacion.

http://www.sophos.com/virusinfo/analyses/trojkrepperg.html

mientras no lo remuevas te seguirá infectando una y otra vez, en esa misma pagina de aquí arriba te explica como removerlo.
Por favor, no me pidas ayuda por mensajes privados, usa el foro para que le pueda servir de ayuda a otros con el mismo problema</span>
 

hcmontana

Nuevo Miembro
Miembro
#4
Hola de nuevo alnitak,

Te posteo otra vez lo que me proporciona el hijackthis

Ahora me abre el notepad, pero haciendo doble click en un archivo de texto no me lo abre.

Tampoco se como se interpretan esos IDE`s de los que me habla la pagina de sophos, un poco mas de ayuda me vendria de perlas.

Lo del services.exe , que debo hacer ?

Muchas gracias.

Logfile of HijackThis v1.98.1

Scan saved at 9:25:21, on 10/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\inetdata\services.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\NoAds\NoAds.exe

C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll

O2 - BHO: (no name) - {C208964D-3993-41EC-B28A-189A16297D5D} - C:\WINDOWS\System32\cmg.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [BDMCon] C:\ARCHIV~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDNewsAgent] C:\Archivos de programa\Softwin\BitDefender Free Edition\bdnagent.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetdata\services.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [NoAds] "C:\Archivos de programa\NoAds\NoAds.exe"

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetdata\services.exe

O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B69A96D-54A4-43C1-BC7A-1BD3F76E26A8}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Filter: text/html - {099236F7-DBF4-4318-A3A3-6F376CCC3073} - C:\WINDOWS\System32\lihgfaa.dll

O18 - Filter: text/plain - {099236F7-DBF4-4318-A3A3-6F376CCC3073} - C:\WINDOWS\System32\lihgfaa.dll
 

alnitak

Ex-Admin
Miembro
#5
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Los IDE son para quien use ese antivirus, tu repica mas bien la pestaña Recovery y te salen las instrucciones para removerlo manualmente.

Para hacerla mas facil:

Reinicia el sistema en modo seguro:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/0fa5e8fc8094b98088256aca004dcefb/2eb701113550b16e88256e2b006ca965?OpenDocument

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

Termina este proceso si existe

C:\WINDOWS\inetdata\services.exe

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y elimina la siguiente entrada

xp_system = c:\windows\inetndata\services.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run

Una vez allí exporta primero esa rama como respaldo: Archivo>>exportar>>la salvas

Después busca y elimina la siguiente entrada

xp_system = c:\windows\inetndata\services.exe

Desactiva la opción de restaurar el sistema, para hacerlo:

Tecla Ctrl + tecla de pausa>>pestaña restaurar el sistema>>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

o

Inicio>>Control Panel>>Sistema>>pestaña restaurar el sistema>marca la casilla de desactivar Restaurar Sistema en todas las unidades.

Inicia el hijackthis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows.

Dale a Scan

Chequea estas entradas y dale a Fix.

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O18 - Filter: text/html - {099236F7-DBF4-4318-A3A3-6F376CCC3073} - C:\WINDOWS\System32\lihgfaa.dll

O18 - Filter: text/plain - {099236F7-DBF4-4318-A3A3-6F376CCC3073} - C:\WINDOWS\System32\lihgfaa.dll

Cierra el hijackthis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner o mejor aun te lo bajas desde lla pagina del autor ya que es freeware: http://www.xs4all.nl/~mp2004 lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos

C:\WINDOWS\System32\lihgfaa.dll

c:\windows\inetndata\services.exe

Abre Panel Control>>Opciones de Internet>>Opciones avanzadas>>clic en restaurar valores predeterminados

Reinicia normalmente, vuelve a activar la opción de restaurar el sistema y postea un nuevo log

Para solucionar lo del bloc de notas:

Clic derecho sobre un archivo de texto>>abrir con>>elegir programa>>elige el bloc de notas y asegurate de marcar la casilla que dice: "utilizar siempre el programa selecionado para abrir este tipo de archivos"

NOTA: Es posible que tengas otros accesos directos redirecionados a otros malwares, deberás pasar un antivirus para ver si encuentra otros malwares y revisar los accesos directos de los programas que usas a menudo para asegurarte que no apunten a algún ejecutable desconocido o te volverás a infectar en cuanto los repiques.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie