my log

Estado
Cerrado para nuevas respuestas

crisnash

Nuevo Miembro
Miembro
#1
bueno mi problema es que cada vez que enciendo mi pc y empieza acargar Windows la pc se apaga y cuando quiero presionar el oton de reset no pasa nada, no funciona y para poder prender mi maquína tengo que apagar y prenderr mi estabilizador para que recien se prenda mi cpu, y así me pasa cada vez que prendo no mas, bueno aquí les dejo el log para que lo revisen..

Logfile of HijackThis v1.99.1

Scan saved at 09:16:53 a.m., on 20/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Alwil

Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil

Software\Avast4\ashServ.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Archivos comunes\Microsoft

Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\WgaTray.exe

C:\Archivos de programa\Alwil

Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Alwil

Software\Avast4\ashMaiSv.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de

programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Privacy Mantra

2.02\privacymantra.exe

C:\Archivos de programa\internet explorer\iexplore.exe

C:\Archivos de programa\internet explorer\iexplore.exe

D:\HI\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de

programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar -

{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -

C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class -

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de

programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Google Toolbar Helper -

{AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de

programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio -

{8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google -

{2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de

programa\google\googletoolbar2.dll

O3 - Toolbar: Megaupload Toolbar -

{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -

C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [avast!]

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de

programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKCU\..\Run: [com.codeode.privacymantra]

"C:\Archivos de programa\Privacy Mantra

2.02\privacymantra.exe" -minimized

O8 - Extra context menu item: E&xportar a Microsoft

Excel -

res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de

programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de

programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Referencia -

{92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514}

(NsvPlayX Control) -

http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D}

(Hotmail Attachments Control) -

http://by24fd.bay24.hotmail.msn.com/activex/HMAtchmt.oc

x

O17 -

HKLM\System\CCS\Services\Tcpip\..\{42CBE0FA-2DC1-4B1A-9

2BF-D82EBCB9A2BB}: NameServer =

85.255.115.158,85.255.112.107

O17 -

HKLM\System\CCS\Services\Tcpip\..\{5A63267C-8DA0-4F66-B

26C-B1EA6DE47861}: NameServer =

85.255.115.158,85.255.112.107

O17 -

HKLM\System\CCS\Services\Tcpip\..\{EA8C131C-4617-4902-A

E0E-F7CAE0645B0B}: NameServer =

85.255.115.158,85.255.112.107

O17 - HKLM\System\CCS\Services\Tcpip\Parameters:

NameServer = 85.255.115.158 85.255.112.107

O18 - Protocol: msnim -

{828030A1-22C1-4009-854F-8E305202313F} -

"C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon -

C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll

(file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv)

- Unknown owner - C:\Archivos de programa\Alwil

Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner -

C:\Archivos de programa\Alwil

Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner -

C:\Archivos de programa\Alwil

Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner -

C:\Archivos de programa\Alwil

Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Google Updater Service (gusvc) - Google

- C:\Archivos de programa\Google\Common\Google

Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) -

Macrovision Corporation - C:\Archivos de

programa\Archivos comunes\InstallShield\Driver\11\Intel

32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG -

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: npkcsvc - INCA Internet Co., Ltd. -

C:\WINDOWS\System32\npkcsvc.exe
 

Caito

Ex- Mod
Miembro
#2
En ppio tienes secuestradas las DNS:

Baja este :

WinSock XP Fix 1.2

WinSock XP Fix

No lo ejecutes

Inicio-> Panel de Control-> Conexiones de red-> Clic derecho a tu conexión-> Propiedades-> Protocolo Internet (TCP/IP)-> Propiedades

Una vez ahí deberás saber si la dirección del servidor DNS la obtienes automáticamente o manualmente (esto depende de tu proveedor).

Si la obtienes automáticamente, simplemente deberás marcar "Obtener la dirección del servidor DNS automáticamente"

En caso de que sea manual, deberás marcar "Usar las siguientes direcciones del servidor DNS" y ahí deberás poner las DNS de tu proveedor.

Si luego de reiniciar tienes problemas con tu conección ejecuta el WinSock XP Fix

Luego :

Actualiza tu sistema acá :

Buscar actualizaciones con Windows Update

(Si por algún motivo no puedes actualizar sigue con los demás pasos)

Borra todas las cookies y el registro con CCleaner:

Descargar CCleaner | Utilidades - Análisis y Optimización

Vete a Panel de Control--> Java y elimina todos los archivos temporales. (Si utilizas JAVA)

Pasale el Avg-antispyware. (Actualizalo, y al acabar el Scaneo elije la opción eliminar, después guarda el report y lo pegas)

Ewido Anti-Malware

Y esta aplicacion también (No necesita instalacion, dale si a todo)No te saltes este paso

ElistarA

Descargar EliStarA | Seguridad - Anti-Spyware

Cuando empiece el Scaneo, DESTILDAS la opción de eliminar, a la izquierda de la ventana del programa



Que no elimine nada

Pega un nuevo Log del Hijackthis, mas los Reports de Avg-Antispyware y ElistarA.

Saludos

Caito
 

crisnash

Nuevo Miembro
Miembro
#3
tenias razon sobre las DNS no eran las mias así que le cambie como me dijiste pero no tenia ningún problrma con mi conexión esta normal como siempre navegando;

oye a que te refieres cuando dices secuestrado , a que alguien me esta robando la conexión de internet o me están jalando los archivos de la pc.

me baje el avg como me indicaste y cuando analizaba y ya me había detectado como 9 virus se me colgo el avg , cuando veo se havia colgado en una carpeta de la unidad D , entonces me puse arevisar por que fue y cuando quise entrar a la carpeta no podia ni aiquiera eliminarla , es una carpeta cualquiera que no se de donde salio son dos carpetas (MSN hotmail - mensaje123_archivosy Swisscontact - peru 1_archivos) cuando quiero eliminar la primera carpeta me dice errror en explorer.exe y se cuelga la pantalla y cuando elimino la segunda carpeta me dice que no se puede eliminar Thunbs: no se puede encontrar el archivo especificado que compreuebe la ruta y el archivo. como no puede scanear toda la pc escanee la memoria y me repo rto un virus que lo elimino y aparace de nuevo

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 02:22:59 p.m. 20/03/2007

+ Resultado del análisis:

[1212] VM_01150000 -> Trojan.DNSChanger.hg : Limpios.

[1876] VM_01150000 -> Trojan.DNSChanger.hg : Limpios.

[2116] VM_010C0000 -> Trojan.DNSChanger.hg : Limpios.

[3008] VM_00930000 -> Trojan.DNSChanger.hg : Limpios.

[640] VM_00DF0000 -> Trojan.DNSChanger.hg : Limpios.

[664] VM_01610000 -> Trojan.DNSChanger.hg : Limpios.

::Fin del informe

y también el registro:

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 02:24:55 p.m. 20/03/2007

+ Resultado del análisis:

HKU\S-1-5-21-1177238915-776561741-682003330-1003\Software\Internet Security -> Adware.IntCodec : Limpios.

::Fin del informe

tambien le pase el ELISTARA y cuando ejecutaba me sali un mensaje diciendo que se ha detectado que el servidor DNS no es el de se IPS, aca esta el log

Tue Mar 20 14:34:20 2007

EliStartPage v13.57 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.158,85.255.112.107

Eliminada Carpeta "%WinSys%\LogFiles"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Tue Mar 20 14:36:41 2007

EliStartPage v13.57 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.158,85.255.112.107

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Mar 20 14:37:17 2007

EliStartPage v13.57 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Tue Mar 20 14:37:49 2007

EliStartPage v13.57 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\HIGEHSG.DLL --> Infectado, FakeAlert

Exploración Detenida por el Usuario.

Tue Mar 20 14:40:54 2007

EliStartPage v13.57 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Tue Mar 20 14:41:00 2007

EliStartPage v13.57 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\HIGEHSG.DLL --> Eliminado, FakeAlert

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\System Volume Information\_restore{80C475AC-174D-49CE-B46F-609DF964DEC4}\RP31\A0008572.DLL --> Eliminado, FakeAlert

C:\System Volume Information\_restore{80C475AC-174D-49CE-B46F-609DF964DEC4}\RP31\A0008573.DLL --> Eliminado, CyDoor

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

y el log de hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 03:30:46 p.m., on 20/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\WgaTray.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

D:\HI\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.pe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Microsoft\Escritorio\ELISTARA.30-03-2007.EXE

O4 - HKCU\..\Run: [com.codeode.privacymantra] "C:\Archivos de programa\Privacy Mantra 2.02\privacymantra.exe" -minimized

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by24fd.bay24.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{42CBE0FA-2DC1-4B1A-92BF-D82EBCB9A2BB}: NameServer = 85.255.115.158,85.255.112.107

O17 - HKLM\System\CCS\Services\Tcpip\..\{5A63267C-8DA0-4F66-B26C-B1EA6DE47861}: NameServer = 200.48.225.130,200.48.225.146

O17 - HKLM\System\CCS\Services\Tcpip\..\{EA8C131C-4617-4902-AE0E-F7CAE0645B0B}: NameServer = 85.255.115.158,85.255.112.107

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.158 85.255.112.107

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\System32\npkcsvc.exe

al parecer en el log del hijackthis aparece las DNS anterior y las mias que puse ultimo, pero en mi conexión aparece las mias
 

Caito

Ex- Mod
Miembro
#4
Elimina estas con el hijack:

O17 - HKLM\System\CCS\Services\Tcpip\..\{42CBE0FA-2DC1-4B1A-92BF-D82EBCB9A2BB}: NameServer = 85.255.115.158,85.255.112.107

O17 - HKLM\System\CCS\Services\Tcpip\..\{EA8C131C-4617-4902-AE0E-F7CAE0645B0B}: NameServer = 85.255.115.158,85.255.112.107

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.158 85.255.112.107

Luego:

Baja este programa:

Dr.Web CureIt

Dr.Web CureIt!

Doble click en drweb-cureit.exe

Clic en Star para que comience el scaneo

Al principio verifica la memoria y tienes que cliquear Yes cuando te pregunte si quieres que tal archivo sea curado (cure it ),esto es un scan rápido

Tambien te puede aparecer un pop up ofreciendo la posibilidad de comprar el programa ,solo elimina ese pop up y sigue…

Cuando ese scan termine haz clic en Options > Change settings

Elige la solapa Scan y destildas "Heuristic analysis".

Ahora vuelve a la ventana principal y eliges los discos a scanear:

elige “All Drives”,un punto rojo te indica cuales elegiste

Haz clic en la flecha verde ubicada a la derecha y comenzará el scaneo

Click 'Yes to all' si te pregunta si quieres “Cure” o “Move “ los archivos

Cuando el scaneo termine te fijas en los archivos encontrados y junto a ellos se halla un ícono trata de cliquear en ese y si puedes cliquea en otro ícono a la derecha y elige Move incurable

Esto pondrá esos archivos en “%userprofile%\DoctorWeb\quarantaine-folder”si no han podido “curarse”.

Ahora en el Menu principal clic en File y elige save report list

Guarda ese reporte en tu escritorio (el nombre será DrWeb.csv)

Cierra el programa.

me pones ese reporte y un nuevo log del hijack

Saludos

Caito
 

crisnash

Nuevo Miembro
Miembro
#5
no pude analizar la unidad D debido a que cuando el programa las carpetas que mencione antes se cuelga el programa y se cierra solo, así que solo scanee la unidad C

REPORTE

vbaa.dll;C:\WINDOWS\system32;Trojan.Movbho;Eliminado.;

A0008587.dll;C:\System Volume Information\_restore{80C475AC-174D-49CE-B46F-609DF964DEC4}\RP31;Trojan.Movbho;Eliminado.;

y el log:

Logfile of HijackThis v1.99.1

Scan saved at 06:30:54 p.m., on 20/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\WgaTray.exe

C:\WINDOWS\explorer.exe

C:\ARCHIV~1\MSNMES~1\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

D:\HI\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.pe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Microsoft\Escritorio\ELISTARA.30-03-2007.EXE

O4 - HKCU\..\Run: [com.codeode.privacymantra] "C:\Archivos de programa\Privacy Mantra 2.02\privacymantra.exe" -minimized

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by24fd.bay24.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{5A63267C-8DA0-4F66-B26C-B1EA6DE47861}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\System32\npkcsvc.exe
 

Lestat

Ex- Mod
Miembro
#6
Salvo que no tienes instalado el Service Pack 2, no voe nada raro, ¿Probaste a Scanear en modo seguro?

Un Saludo :coolioju:
 

crisnash

Nuevo Miembro
Miembro
#7
no , no tengo instalado sp2

acabo de probar scanear en modo seguro y nada no se puede por esas malditas carpetas que no se pueden borrar

tienes algúna idea de como borrarlas
 

crisnash

Nuevo Miembro
Miembro
#9
hoy estuve revisando la pc para ver si continua el problema

y ahora pasa que cada vez que qquiero prender el cpu se apaga solo y luego presiono el boton para encerder el cpu y no funciona , para que me prenda tengo que apagar y prender el estabilizador para que me encienda el cpu, ahora no se pueda pueda ser el problema en mi compu si es un virus o es problema de energia que no llega al cpu y encima que no puedo analizar la pc por esas carpetas.

,espero que me entiendas.

saludos
 

crisnash

Nuevo Miembro
Miembro
#10
estuve analizando el registro con avg y encontro esto

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 08:47:53 a.m. 21/03/2007

+ Resultado del análisis:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Limpios.

::Fin del informe

tambien analize la memoria

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 08:50:21 a.m. 21/03/2007

+ Resultado del análisis:

[1044] VM_01150000 -> Trojan.DNSChanger.hg : Limpios.

[1064] VM_01240000 -> Trojan.DNSChanger.hg : Limpios.

[2020] VM_01150000 -> Trojan.DNSChanger.hg : Limpios.

[2172] VM_010C0000 -> Trojan.DNSChanger.hg : Limpios.

[636] VM_00DF0000 -> Trojan.DNSChanger.hg : Limpios.

[664] VM_01610000 -> Trojan.DNSChanger.hg : Limpios.

::Fin del informe

el programa me dice que lo alimina pero cada vez que analizo siempre esta ese maldito trojan

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 08:54:21 a.m. 21/03/2007

+ Resultado del análisis:

[204] VM_00DF0000 -> Trojan.DNSChanger.hg : Limpios.

[228] VM_015D0000 -> Trojan.DNSChanger.hg : Limpios.

[720] VM_01150000 -> Trojan.DNSChanger.hg : Limpios.

::Fin del informe
 

crisnash

Nuevo Miembro
Miembro
#11
una cosa mas que cuando quiero eliminar o ver las propiedades o abrir esas carpetas siempre me da error en explorer.exe me dice que hadetextado un problema y tiene que cerr ;) arce
 

Lestat

Ex- Mod
Miembro
#12
Realizá estos pasos

<--- Paso 1 --->

Descarga la herramienta llamada FixWareout (http://downloads.subratam.org/Fixwareout.exe) y guárdala en el escriitorio de Windows, pero no la ejecutes aún.

<--- Paso 2 --->

○» Desactiva la opción de Restaurar Sistema, una vez que tu sistema quede limpio la puedes volver a activar.

○» Asegura que tu sistema Muestre los archivos y carpetas ocultos

○» Reinicia en Modo Seguro

<--- Paso 3 --->

Dale doble clic al archivo Fixwareout para que empieze la instalación del programa, luego le das clic al botón Next y luego a Install, debes verificar que la casilla "Run fixit" esté marcada y luego dale clic al botón Finish, va a aparecer una ventana donde deberás seguir las indicaciones del programa, esta te pedirá el reinicio de tu sistema.

El reinicio de la máquina puede demorar en cargar, esto es normal, cuando el sistema cargue sigue las indicaciones, luego el Hijackthis se abrirá.

<--- Paso 4 --->

Pega un log de Hijackthis y pega también un log de Fixwareout que se encuentra en la carpeta C:\fixwareout\report.txt



Ademas, dime la ruta de esas carpetas y su nombre.


Un Saludo

Nota: Ejecuta esta herramienta en Modo Normal ya que necesita la conexión a la red para descargar otra herramienta (BFU). El firewall puede avisar que esta conexión se está realizando así que es importante que le permitas el acceso a la red.
 

crisnash

Nuevo Miembro
Miembro
#13
por fin puede eliminar las carpetas , cuando intente eliminar una de las carpetas me salia un error que decía que los nombres eran demasiado largo para la papelera así que al cambiar el nombre de las carpetas que las contenia por unos mas cortos puede eliminarlos, estas carpetas estaban dentro de 5 carpetas asiq las cambie todas de nombre menos a ellas porque no podia.

ahora que puede eliminarlos le scanee con el avg , ELISTARA y drweb-cureit y también con lo que ma habías dicho ultimo

y aquí están sus respectivos reportes

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 10:27:24 p.m. 21/03/2007

+ Resultado del análisis:

C:\WINDOWS\temp\kdlew.ren -> Trojan.DNSChanger.hj : Limpios.

::Fin del informe

log de ELISTARA :

Wed Mar 21 22:27:51 2007

EliStartPage v13.57 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Wed Mar 21 22:28:07 2007

EliStartPage v13.57 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Mar 21 23:07:59 2007

EliStartPage v13.57 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

El drweb-cureit no me encontro nada.

log del FixWareout :



Fixwareout Last edited 2/11/2007

Post this report in the forums please

...

»»»»»Prerun check

HKLM\SOFTWARE\~\Winlogon\ "System"="kdlew.exe"

»»»»» System restarted



»»»»» Postrun check

HKLM\SOFTWARE\~\Winlogon\ "system"=""

....

....

»»»»» Misc files.

....

»»»»» Checking for older varients.

....

Search five digit cs, dm, kd, jb, other, files.

The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.

Click browse, find the file then click submit.

http://www.virustotal.com/flash/index_en.html

Or http://virusscan.jotti.org/

»»»»» Other

C:\WINDOWS\temp\kdlew.ren 63389 29/05/2003

»»»»» Current runs

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="C:\\ARCHIV~1\\ALWILS~1\\Avast4\\ashDisp.exe"

"QuickTime Task"="\"C:\\Archivos de programa\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Disabled]

"(por defecto)"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"com.codeode.privacymantra"="\"C:\\Archivos de programa\\Privacy Mantra 2.02\\privacymantra.exe\" -minimized"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Disabled]

....

Hosts file was reset, If you use a custom hosts file please replace it

»»»»» End report »»»»»

y el log de hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 12:35:15 a.m., on 22/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\WgaTray.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

D:\HI\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [com.codeode.privacymantra] "C:\Archivos de programa\Privacy Mantra 2.02\privacymantra.exe" -minimized

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by24fd.bay24.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{5A63267C-8DA0-4F66-B26C-B1EA6DE47861}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\System32\npkcsvc.exe

todavia tengo problemas con la pc ahora cada vez que prendo se me cuelga cuando empieza acargar Windows y a la segunda recien carga.
 

Lestat

Ex- Mod
Miembro
#14
Saca el log en modo normal y manda analizar este proceso, pega su report:

http://www.virustotal.com/flash/index_en.html

O http://virusscan.jotti.org/

C:\WINDOWS\temp\kdlew.ren 63389 29/05/2003

Un Saludo
 

crisnash

Nuevo Miembro
Miembro
#15
hola

ya no encuentro ese proceso parece que ya no esta

Fixwareout Last edited 2/11/2007

Post this report in the forums please

...

»»»»»Prerun check

»»»»» System restarted



»»»»» Postrun check

HKLM\SOFTWARE\~\Winlogon\ "system"=""

....

....

»»»»» Misc files.

....

»»»»» Checking for older varients.

....

Search five digit cs, dm, kd, jb, other, files.

The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.

Click browse, find the file then click submit.

http://www.virustotal.com/flash/index_en.html

Or http://virusscan.jotti.org/

»»»»» Other

»»»»» Current runs

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="C:\\ARCHIV~1\\ALWILS~1\\Avast4\\ashDisp.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Disabled]

"(por defecto)"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Disabled]

....

Hosts file was reset, If you use a custom hosts file please replace it

»»»»» End report »»»»»

sigue le problema todavia enciendo el estabilizador luego enciendo el cpu y de un rato se apaga solo el cpu y ya no prende hasta que apage y vuelva a prender el estabilizador y así esta una y dos veces
 

Lestat

Ex- Mod
Miembro
#16
Pues yo no lo veo ya un problema de malwares ¿A que le llamas estabilizador? ¿Aun SAI?

Un Saludo
 

crisnash

Nuevo Miembro
Miembro
#17
holas

revisando mi pc encontré el verdadero problema , no era nada de virus y eso

lo que pasa es que el ventilador de la fuente no funciona y me percate que mi compu esta un poco caliente así que lo apage y revise por que no giraba el ventilador y cuando trate de hacerlo girar esta dura , el aspa no giraba facilmente, puede ser que la falte aceite (que aceite echarle) o como puedo repara eso.

al estabilizador me refiero ha esa caja que cambia la corriente alterna en corriente continua a 220v.
 

Lestat

Ex- Mod
Miembro
#18
lo que pasa es que el ventilador de la fuente no funciona y me percate que mi compu esta un poco caliente así que lo apage y revise por que no giraba el ventilador y cuando trate de hacerlo girar esta dura , el aspa no giraba facilmente, puede ser que la falte aceite (que aceite echarle) o como puedo repara eso.
Te veo cambiando la fuente, porque yo la verdad es que jamas le tuve que echar nada de aceite al ventilador... (Abre un nuevo post en Hardware y a ver que te dicen alli.

al estabilizador me refiero ha esa caja que cambia la corriente alterna en corriente continua a 220v.
Sorrry, pero yo vivo en España y no lo usamos, por eso no me enteraba.

Un Saludo :ok:
 
Estado
Cerrado para nuevas respuestas
Arriba Pie