Log del HijackThis (¿virus bardiel?)

Estado
Cerrado para nuevas respuestas

zagrev

Nuevo Miembro
Miembro
#1
Hola, ojala me pudieran ayudar porque yo también tengo el virus Bardiel, y he estado leyendo los demas casos y bueno`pues dejo el resultado del escaneo.

Logfile of HijackThis v1.98.2

Scan saved at 18:46:21, on 30/10/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\CDCOMMANDDLL.EXE

C:\WINDOWS\System32\CLIPINSTALLMON.BAT

C:\WINDOWS\System32\pctspk.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Archivos comunes\CMEII\CMESys.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

C:\Archivos de programa\PopUp Killer\popupkiller.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe

C:\WINDOWS\Explorer.exe

C:\Archivos de programa\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Archivos de programa\Netropa\Onscreen Display\OSD.exe

C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\ARCHIV~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\KillUsa.exe

C:\WINDOWS\System32\wuauclt.exe

C:\PROGRA~1\Altnet\DOWNLO~1\adm.exe

C:\Documents and Settings\Usuario\Mis documentos\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t1msn.com.mx/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\CDCOMMANDDLL.EXE

F3 - REG:win.ini: run=C:\WINDOWS\System32\CDCOMMANDDLL.EXE

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Archivos de programa\MyWay\myBar\2.bin\MYBAR.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Archivos de programa\MyWay\myBar\2.bin\MYBAR.DLL

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [Disk Monitor] C:\Archivos de programa\\IC Card Reader Driver v1.7b\Disk_Monitor.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE /P23 "EPSON Stylus C43 Series" /O6 "USB001" /M "Stylus C43"

O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe

O4 - HKLM\..\Run: [CMESys] "C:\Archivos de programa\Archivos comunes\CMEII\CMESys.exe"

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [KAZAA] C:\Documents and Settings\Usuario\Mis documentos\Mi música\kazaa\kazaa.exe /SYSTRAY

O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s

O4 - HKLM\..\Run: [RjLyraInstaller] D:\setup.exe D:\

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PopUpKiller] C:\Archivos de programa\PopUp Killer\popupkiller.EXE

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\iwujhp.exe

O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\iofkk.exe

O4 - HKLM\..\Run: [Turbo Memory] C:\Archivos de programa\TurboMemory\TurboMemory.exe

O4 - HKLM\..\Run: [CDCOMMANDDLL] C:\WINDOWS\System32\CDCOMMANDDLL.EXE

O4 - HKLM\..\Run: [svshots] C:\WINDOWS\svshots.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [sp] C:\sp.exe

O4 - Startup: iMesh.lnk = C:\Archivos de programa\iMesh\Client\iMeshClient.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O4 - Global Startup: ImageFox.lnk = ?

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Megekdjc.dll
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola, he separado tu tema, por favor no posteen logs en temas ajenos.

Tienes un monton de spywares, adwares y troyanos instalados por kazaa y imesh, antes de seguir estas instrucciones deberías desinstalar ambos y remplazarlos por kazaa lite que sirve para lo mismo pero no instala tanta basutay no perjudica el sistema operativo.

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Entra al administrador de tareas: <Ctrl>+<Alt>+<Supr> y termina cualquiera de los siguientes procesos si existen:

AGREGAR AQUI

C:\WINDOWS\System32\CDCOMMANDDLL.EXE

C:\WINDOWS\System32\CLIPINSTALLMON.BAT

C:\Archivos de programa\Archivos comunes\CMEII\CMESys.exe

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

C:\WINDOWS\System32\KillUsa.exe

C:\PROGRA~1\Altnet\DOWNLO~1\adm.exe

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\CDCOMMANDDLL.EXE

F3 - REG:win.ini: run=C:\WINDOWS\System32\CDCOMMANDDLL.EXE

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Archivos de programa\MyWay\myBar\2.bin\MYBAR.DLL

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Archivos de programa\MyWay\myBar\2.bin\MYBAR.DLL

O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe

O4 - HKLM\..\Run: [CMESys] "C:\Archivos de programa\Archivos comunes\CMEII\CMESys.exe"

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\iwujhp.exe

O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\iofkk.exe

O4 - HKLM\..\Run: [Turbo Memory] C:\Archivos de programa\TurboMemory\TurboMemory.exe

O4 - HKLM\..\Run: [CDCOMMANDDLL] C:\WINDOWS\System32\CDCOMMANDDLL.EXE

O4 - HKLM\..\Run: [svshots] C:\WINDOWS\svshots.exe

O4 - HKCU\..\Run: [sp] C:\sp.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.free32.com/POP.CHM::/sp.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Megekdjc.dll



Cierra el HijackThis, elimina los archivos temporales y cookies(ojo, no solamente los archivos temporales de Internet sino también los de sistema), hay herramientas que permiten hacerlo con facilidad, por ejemplo desde esta misma Web te puedes descargar el Disk Cleaner:

Disk Cleaner

Lo instalas, lo corres, marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean).

Elimina estos archivos si existen:

C:\WINDOWS\System32\CDCOMMANDDLL.EXE

C:\WINDOWS\System32\SahAgent.exe

C:\WINDOWS\System32\iwujhp.exe

C:\WINDOWS\System32\iofkk.exe

C:\WINDOWS\svshots.exe

C:\sp.exe

C:\WINDOWS\System32\Megekdjc.dll

Elimina estas carpetas y todo su contenido si existen

C:\Archivos de programa\MyWay

C:\Archivos de programa\Archivos comunes\CMEII\

C:\WINDOWS\System32\P2P Networking\

c:\program files\altnet\

C:\Archivos de programa\TurboMemory\

Escaneate con tu antivirus

Reinicia normalmente y reactiva la opción de restaurar el sistema.

Instala la ultima versión de Ad Aware, actualízalo y escanéate para que termine de limpiar.

Actualiza tu sistema a través del Windows Update

Toma otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

zagrev

Nuevo Miembro
Miembro
#3
bueno ya elimine el kazaa y el imesh,hice que se mostraran todos los archivos ocultos,resture el sistema,y reinicie en modo seguro y no puedo ver el administrador de tareas porque me dice que esta desabilitado por otro administrador.

que hago?
 

alnitak

Ex-Admin
Miembro
#4
Abre el bloc de notas y copia esto:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=-

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System]

"DisableRegistryTools"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\winoldapp]

"Norealmode"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoFolderOptions"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=-
Salvalo como trucoswindowsnet.reg y repicalo doble, cuando te pregunte acepta introducir la información en el registro, después podrás abrir ya lo que quieras.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie