Incapaz, siempre aparece

Estado
Cerrado para nuevas respuestas

adryan

Nuevo Miembro
Miembro
#1
Hola, bueno, pues eso, que resulta que los e quitado un monton de veces, pero simpre aparece,k como lo se.

Me ocurre que cuando ago doble click en mi pc y tarda un puñao en aparecer, algo pasa....

Logfile of HijackThis v1.98.2

Scan saved at 21:59:42, on 21/09/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

LogFile dijo:
Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\archivos de programa\ASUS\Probe\AsusProb.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINNT\system32\RUNDLL32.EXE

C:\WINNT\system32\ctfmon.exe

C:\Archivos de programa\AVERTV2K\QuickTV.exe

C:\WINNT\system32\msgfix.exe

C:\WINNT\system32\msgfix.exe

C:\WINNT\system32\msgfix.exe

C:\WINNT\system32\msgfix.exe

C:\WINNT\system32\systemconfig.exe

C:\Program Files\Windows SyncroAd\SyncroAd.exe

C:\Program Files\Windows SyncroAd\WinSync.exe

C:\temp\msbb.exe

C:\Archivos de programa\Web_Rebates\WebRebates1.exe

C:\Archivos de programa\Web_Rebates\WebRebates0.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elmundo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [ASUS Probe] c:\archivos de programa\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Configuration Loader] msgfix.exe

O4 - HKLM\..\Run: [System Configurator] systemconfig.exe

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe

O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe

O4 - HKLM\..\Run: [qjsfur] C:\WINNT\qjsfur.exe

O4 - HKLM\..\Run: [WebRebates0] "C:\Archivos de programa\Web_Rebates\WebRebates0.exe"

O4 - HKLM\..\RunServices: [Configuration Loader] msgfix.exe

O4 - HKLM\..\RunServices: [System Configurator] systemconfig.exe

O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\WINNT\TEMP\djtopr1150.exe"

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVERTV2K\QuickTV.exe

O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...a16f17897c4ded1
y aquí una captura de los procesos

Imagen Rota/Perdida

No se porque me va que tengo mierda para rato.
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola. Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

De existir termina cada uno estos procesos:

C:\WINNT\system32\msgfix.exe http://esp.sophos.com/virusinfo/analyses/w32sdbotgv.html

C:\WINNT\system32\msgfix.exe

C:\WINNT\system32\msgfix.exe

C:\WINNT\system32\msgfix.exe

C:\WINNT\system32\systemconfig.exe http://esp.sophos.com/virusinfo/analyses/w32duloada.html

C:\Program Files\Windows SyncroAd\SyncroAd.exe <<--no se que es

C:\Program Files\Windows SyncroAd\WinSync.exe <<--no se que es

C:\Archivos de programa\Web_Rebates\WebRebates1.exe http://www.pestpatrol.com/pestinfo/t/toprebates.asp

C:\Archivos de programa\Web_Rebates\WebRebates0.exe

Cierra el administrador de tareas y vuélvelo a abrir para asegurarte que esos procesos ya no estén.

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respaldalo salvandolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegutare que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina estas entradas:

[Configuration Loader] msgfix.exe

[System Configurator] systemconfig.exe

[Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe <<--solo si no la conoces

[msbb] c:\temp\msbb.exe

[qjsfur] C:\WINNT\qjsfur.exe

[WebRebates0] "C:\Archivos de programa\Web_Rebates\WebRebates0.exe"

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

En el panel derecho elimina estas entradas:

[Configuration Loader] msgfix.exe

[System Configurator] systemconfig.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\

En el panel derecho elimina estas entradas:

[djtopr1150.exe] "C:\WINNT\TEMP\djtopr1150.exe"

Cada usuario dispone de un área en el registro de la forma HKEY_LOCAL_USERS\.

En el caso de este usuario no parecen haber entradas en esta área del registro pero podrian existir en otros usuarios y por lo tanto podrías volverte a infectar si no tomas el log entrando en modo seguro desde cada usuario y no te fijas bien por si existen entradas en esa área para eliminarlas antes de iniciar normalmente

Ya puedes cerrar el editor de registro.

Inicia el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas(las que todavía estén presentes, solo debería quedar la ultma) y dale a fix:

O4 - HKLM\..\Run: [Configuration Loader] msgfix.exe

O4 - HKLM\..\Run: [System Configurator] systemconfig.exe

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe <<--solo si no la conoces

O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe

O4 - HKLM\..\Run: [qjsfur] C:\WINNT\qjsfur.exe

O4 - HKLM\..\Run: [WebRebates0] "C:\Archivos de programa\Web_Rebates\WebRebates0.exe"

O4 - HKLM\..\RunServices: [Configuration Loader] msgfix.exe

O4 - HKLM\..\RunServices: [System Configurator] systemconfig.exe

O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\WINNT\TEMP\djtopr1150.exe"

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...a16f17897c4ded1

Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema, hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner:

Disk Cleaner

O si prefieres te lo bajas desde la pagina del autor para asegurarte que sea la ultima versión (es freeware)

http://www.xs4all.nl/~mp2004

Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos:

C:\WINNT\system32\msgfix.exe

C:\WINNT\system32\systemconfig.exe

C:\WINNT\qjsfur.exe

Elimina estas carpetas y todo su contenido:

C:\Program Files\Windows SyncroAd\ solo si no la conoces

C:\Archivos de programa\Web_Rebates\

c:\temp\

Asegurate que en la carpeta :

C:\WINNT\TEMP\

no quede ni rastro de malwares

Reinicia normalmente.

Instala Ad Aware en su ultima version, actualizalo y escaneate para que termine de limpiar.

Actualiza tu sistema operativo si no lo has hecho recientemente.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

adryan

Nuevo Miembro
Miembro
#3
Gracias Alnitak

Hola, por el momneto soluccionado, al igual que siempre.

Decir que esto a sido muy importante, ya que ay tenia un monton de registros malevolos

Insertar CODE, HTML o PHP:
Cada usuario dispone de un área en el registro de la forma HKEY_LOCAL_USERS\. 

En el caso de este usuario no parecen haber entradas en esta área del registro pero podrian existir en otros usuarios y por lo tanto podrías volverte a infectar si no tomas el log entrando en modo seguro desde cada usuario y no te fijas bien por si existen entradas en esa área para eliminarlas antes de iniciar normalmente
Lo digo para si alguien lo ve que revise x ay.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie