My log

Estado
Cerrado para nuevas respuestas

L0tUs

Nuevo Miembro
Miembro
#1
Hola, Bueno mi problema es que cada vez que realizo una busqueda en google y le doy click al enlace me redirecciona a otra pagina. Tambien a veces me cierra el explorer automaticamente.

aca les dejo my log:

Logfile of HijackThis v1.99.1

Scan saved at 9:18:40, on 22/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\AppServ\Apache\Apache.exe

C:\AppServ\mysql\bin\mysqld-nt.exe

C:\AppServ\Apache\Apache.exe

C:\WINDOWS\system32\nutsrv4.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe

C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Willy\Mis documentos\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {36645342-9475-2663-166A-466739207346} - C:\WINDOWS\system32\ipv6motp.dll

O2 - BHO: CIEPl Object - {51667D91-1720-434F-94E6-435789B50DB7} - C:\WINDOWS\system32\holdapi.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Image Helper - {646782DF-07D9-5816-C17D-32459D631863} - C:\WINDOWS\system\bpmdm32.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: McAfee Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - c:\archivos de programa\mcafee\mps\mcpopup.dll (file missing)

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\Archivos de programa\Rational\Rational Test\nutcroot\bin\ncoeenv.exe

O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Archivos de programa\DAP\DAP.EXE" /STARTUP

O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: MS_update_0612_KB74062.exe

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{F61D4603-A90B-4389-AA15-313FF9B02DD7}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs:

O20 - Winlogon Notify: holdapi - C:\WINDOWS\SYSTEM32\holdapi.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)

O23 - Service: Intel® Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

O23 - Service: MySQL - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe

O23 - Service: NuTCRACKERService - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Espero me puedan ayudar, Gracias
 

Rurouni

Nuevo Miembro
Miembro
#2
Realiza lo siguiente y nos pasas los resultados:

En este orden:

1º » Actualiza tu sistema Buscar actualizaciones con Windows Update

2º » Borra todas las cookies y el registro con CCleaner

3º » Vete a Inicio- Panel de Control--> Java y elimina todos los archivos temporales. (si usas Java)

4º » Pásale el AVG Antispyware. ( Actualizalo, y al acabar el Scaneo elije la opción eliminar, después guarda el report y lo pegas) aka tienes el manual por si tienes algúna duda Manual de AVG Antipsyware

5º » Pásale también el ElistarA (No necesita instalación, dile SI a todo, Los resultados aparecen en el archivo C:\Infosat.txt ) Cuando empiece el Scaneo, DESTILDAS la opción de eliminar, a la izquierda de la ventana del programa



Que no elimine nada

6º » Vuelve a sacar un nuevo Log del Hijackthis y nos lo pegas junto con el Report del AVG Antispyware y del Elistara.

Un saludo
 

L0tUs

Nuevo Miembro
Miembro
#3
Hola, gracias por responder. Aca les dejo los logs

Thu Mar 22 12:37:51 2007

EliStartPage v13.58 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\HOLDAPI]

Por favor, envienos una muestra del fichero

C:\WinLogon\HOLDAPI.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OSPCONT.DAT --> Eliminado (Fichero Complementario).

Eliminada Carpeta "%WinSys%\LogFiles"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Mar 22 12:38:39 2007

EliStartPage v13.58 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Rational\Rational Test\SQA7XML.DLL --> Infectado, ISTBar (dldr)

C:\Documents and Settings\Willy\Mis documentos\Benny\Visual Basic\Programa de Caja\PROGRAMA DE CAJA.EXE --> Infectado, Ailis

C:\Documents and Settings\Willy\Mis documentos\Benny\Visual Basic\Proyectos\PROCEDIMIENTO.EXE --> Infectado, Ailis

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 12:29:08 22/03/2007

+ Resultado del análisis:

C:\WINDOWS\system32\bak\lsasss.exe -> Downloader.Agent.awf : Limpios.

C:\WINDOWS\system32\lsasss.exe -> Downloader.Agent.awf : Limpios.

C:\WINDOWS\system32\gllboqba.exe -> Logger.Agent.ir : Limpios.

C:\WINDOWS\system\__delete_on_reboot__b_p_m_d_m_3_2_._d_l_l_ -> Logger.Agent.ir : Limpios.

[1556] C:\WINDOWS\system\bpmdm32.dll -> Logger.Agent.ir : Limpios.

C:\WINDOWS\system32\mvoptaaa.exe -> Logger.BZub.hl : Limpios.

C:\WINDOWS\system32\ipv6motp.dl_ -> Logger.BZub.hx : Limpios.

C:\WINDOWS\system32\drivers\hflt_ipf.sys -> Rootkit.Agent.eg : Limpios.

::Fin del informe

Logfile of HijackThis v1.99.1

Scan saved at 12:55:53, on 22/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\AppServ\Apache\Apache.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\Explorer.EXE

C:\AppServ\Apache\Apache.exe

C:\AppServ\mysql\bin\mysqld-nt.exe

C:\WINDOWS\system32\nutsrv4.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\Documents and Settings\Willy\Mis documentos\HijackThis\ELISTARA.31032007.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\Notepad.exe

C:\WINDOWS\system32\Notepad.exe

C:\Documents and Settings\Willy\Mis documentos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {36645342-9475-2663-166A-466739207346} - C:\WINDOWS\system32\ipv6mopk.dll

O2 - BHO: CIEPl Object - {51667D91-1720-434F-94E6-435789B50DB7} - C:\WINDOWS\system32\holdapi.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Image Helper - {646782DF-07D9-5816-C17D-32459D631863} - C:\WINDOWS\system\bpmdm32.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\Archivos de programa\Rational\Rational Test\nutcroot\bin\ncoeenv.exe

O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [IEFilter] C:\Documents and Settings\Willy\Configuración local\Datos de programa\Microsoft\Internet Explorer\Filters\IExpl32d.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: MS_update_0612_KB74062.exe

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{F61D4603-A90B-4389-AA15-313FF9B02DD7}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: holdapi - C:\WINDOWS\SYSTEM32\holdapi.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Intel® Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

O23 - Service: MySQL - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe

O23 - Service: NuTCRACKERService - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

Caito

Ex- Mod
Miembro
#4
Baja este programa :(VundoFix)

http://www.atribune.org/downloads/VundoFix.exe

Doble click en el programa ,se creará una carpeta Vundo Fix en tu escritorio

cuando los archivos se hayan descargado reinicia en Modo Seguro:

1.- Salga de todos los programas

2.- Seleccione Inicio, Apagar el sistema.

3.- Apague la computadora, y aguarde 10 segundos (no use el botón RESET, usted debe apagar su PC para borrar cualquier posible virus en memoria).

4.- Encienda su PC.

5.- pulse F8 repedidas veces hasta que salga un menu

6.- Seleccione "Modo a prueba de fallos" o similar, y Windows debería arrancar en este modo, si tiene Windows Xp pulse en Modo Seguro

Abre la carpeta Vundo Fix y haz doble click en KillVundo.bat

te encontrarás con algo así:

VundoFix V2.15 by Atri

By using VundoFix you agree that you are doing so at your own risk

Press enter to continue....

ahora presiona Enter

verás esto:

Please Type in the filepath as instructed by the forum staff

and then press enter:

copia exacto esto:

o C:\WINDOWS\system32\holdapi.dll

apreta Enter

te aparecerá esto:

Please type in the second filepath as instructed by the forum

staff then press enter:

copia exacto esto:

C:\WINDOWS\system32\ipadloh.dll*

dale a Enter

ahora se abrirá el hijack This (si no abre en forma automática lo abres vos )

Scan y luego Fix a estas:

O2 - BHO: (no name) - {36645342-9475-2663-166A-466739207346} - C:\WINDOWS\system32\ipv6mopk.dll

O2 - BHO: CIEPl Object - {51667D91-1720-434F-94E6-435789B50DB7} - C:\WINDOWS\system32\holdapi.dll

O2 - BHO: Image Helper - {646782DF-07D9-5816-C17D-32459D631863} - C:\WINDOWS\system\bpmdm32.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O20 - Winlogon Notify: holdapi - C:\WINDOWS\SYSTEM32\holdapi.dll

Cierra el Hijack.

Busca estos archivos y los eliminas: (pueden no estar )

C:\WINDOWS\system32\ipv6mopk.dll

C:\WINDOWS\system32\holdapi.dll

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Ejecuta el Avg-antispyware

Reinicia normal, conecta Internet, pon el reporte del AVG Anti-Spyware y pega un nuevo log del Hijack.

Saludos

Caito

Pd: haz analizar estos :

C:\Documents and Settings\Willy\Configuración local\Datos de programa\Microsoft\Internet Explorer\Filters\IExpl32d.exe

elige una web:

Scaneo de archivos:

http://virusscan.jotti.org/

http://www.kaspersky.com/scanforvirus

http://www.virustotal.com/flash/index_en.html
 

L0tUs

Nuevo Miembro
Miembro
#5
Hola. Ya realice todos los pasos, aca les dejo los resultados:

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 18:37:24 22/03/2007

+ Resultado del análisis:

C:\WINDOWS\system32\drivers\ip6fw.sys -> Rootkit.Agent.dp : Limpios.

::Fin del informe

Logfile of HijackThis v1.99.1

Scan saved at 18:42:31, on 22/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\DAEMON Tools\daemon.exe

C:\AppServ\Apache\Apache.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\AppServ\mysql\bin\mysqld-nt.exe

C:\WINDOWS\system32\nutsrv4.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

C:\AppServ\Apache\Apache.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\Willy\Mis documentos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {36645342-9475-2663-166A-466739207346} - C:\WINDOWS\system32\ipv6mopk.dll (file missing)

O2 - BHO: CIEPl Object - {51667D91-1720-434F-94E6-435789B50DB7} - C:\WINDOWS\system32\holdapi.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Image Helper - {646782DF-07D9-5816-C17D-32459D631863} - C:\WINDOWS\system\bpmdm32.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\Archivos de programa\Rational\Rational Test\nutcroot\bin\ncoeenv.exe

O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [IEFilter] C:\Documents and Settings\Willy\Configuración local\Datos de programa\Microsoft\Internet Explorer\Filters\IExpl32d.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: MS_update_0612_KB74062.exe

O8 - Extra context menu item: &Clean Traces - C:\Archivos de programa\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{F61D4603-A90B-4389-AA15-313FF9B02DD7}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: holdapi - holdapi.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Intel® Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

O23 - Service: MySQL - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe

O23 - Service: NuTCRACKERService - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Hice el escaneo por web, pero no se encontraba el IExpl32d.exe por lo que le hice un escaneo al IEFilter.dll y encotro virus: Trojan.Win32.Agent.fd
 

Caito

Ex- Mod
Miembro
#6
Descarga F-Secure Blacklight

https://europe.f-secure.com/exclude/blacklight/blbeta.exe

en la carpeta C:\ y haz doble-click al archivo blbeta.exe para activarlo.

Acepta la licencia, clic "Scan" y espere un poco..

Al fin del scan, Blacklight va a indicar el nombre de "hidden items".

Cierra el programa, y mira en la carpeta C:\, el reporte generado esta en forma de documento de texto, y su nombre comienza por "fsbl…", pega este reporte.

Además explicáme bien lo de IEFilter.dll ,en donde lo detectaste y si eliminaste ese archivo (o pon la ruta exacta donde se encuentra )

Saludos

Caito
 

L0tUs

Nuevo Miembro
Miembro
#7
Hola de nuevo, aca dejo el resultado del BlackLight:

03/22/07 20:13:55 [Info]: BlackLight Engine 1.0.55 initialized

03/22/07 20:13:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)

03/22/07 20:13:57 [Note]: 7019 4

03/22/07 20:13:57 [Note]: 7005 0

03/22/07 20:13:59 [Note]: 7006 0

03/22/07 20:13:59 [Note]: 7011 1460

03/22/07 20:14:00 [Note]: 7026 0

03/22/07 20:14:00 [Note]: 7026 0

03/22/07 20:14:00 [Note]: 7024 3

03/22/07 20:14:00 [Info]: Hidden process: C:\Archivos de programa\Internet Explorer\iexplore.exe

03/22/07 20:14:15 [Note]: FSRAW library versión 1.7.1021

03/22/07 20:18:03 [Note]: 2000 1012

03/22/07 20:19:07 [Note]: 7007 0

Con respecto a lo de la libreria IEfilter.dll lo detecte con el http://www.kaspersky.com/scanforvirus

en la siguiente ruta:

C:\Documents and Settings\Willy\Configuración local\Datos de programa\Microsoft\Internet Explorer\Filters

No lo he eliminado
 

L0tUs

Nuevo Miembro
Miembro
#9
Hola. Bueno hice un análisis con el kaspersky, en las áreas críticas. Este fue el resultado:

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

sábado, 24 de marzo de 2007 1:27:14

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.0

Ultima actualización: 24/03/2007

Registros en la base antivirus: 269133

-------------------------------------------------------------------------------

Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero

Objetivo a analizar - Áreas críticas:

C:\WINDOWS

C:\DOCUME~1\Willy\CONFIG~1\Temp\

Estadísticas:

Número de objeros analizados: 12447

Virus encontrados: 2

Objetos infectados: 2 / 0

Objetos sospechosos: 0

Duración del análisis: 00:25:22

Bombre del objeto infectado / Nombre del virus / Última acción

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{590151A2-AF31-4A4E-AB6C-EAF11036EFD6}.bin Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{B74FFE63-7C1C-4F42-AB3A-599604BD10E5}.bin Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\CustomLo.evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\Installer.exe Infectados: Trojan.Win32.AutoIt.z saltado

C:\WINDOWS\system32\vkdnaaaa.exe Infectados: Trojan-Downloader.Win32.Small.eio saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Temp\ib2 Object is locked saltado

C:\WINDOWS\Temp\ib3 Object is locked saltado

C:\WINDOWS\Temp\ib4 Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\DOCUME~1\Willy\CONFIG~1\Temp\fla6F2.tmp Object is locked saltado

C:\DOCUME~1\Willy\CONFIG~1\Temp\Perflib_Perfdata_5c0.dat Object is locked saltado

Análisis completado.
 

L0tUs

Nuevo Miembro
Miembro
#11
Aquí dejo los resultados del BitDefender:

BitDefender Online Scanner - Real Time Virus ReportBitDefender Online

Scanner - Real Time Virus Report

Generated at: Sat, Mar 24, 2007 - 16:43:15



Scan Info

Scanned Files1042646

Infected Files18





Virus Detected

Trojan.Downloader.Murlo.EK2

Trojan.Keylogger.iOpus.A5

Trojan.AVKiller.Agent.D6

Trojan.Downloader.Agent.AYC2

Trojan.Rootkit.AU1

Trojan.Autoit.Z2









This summary of the scan process will be used by the BitDefender Antivirus

Lab to create agregate statistics about virus activity around the world.
 

Caito

Ex- Mod
Miembro
#12
Vuelve a hacer con este:

scan on line:

http://support.f-secure.com/enu/home/ols.shtml

Saludos

Caito
 

L0tUs

Nuevo Miembro
Miembro
#13
Hola, bueno aca dejo los resultados del scan:

Result: 12 malware found

SpyWareNukerXT (spyware)

System (Disinfected)

Tracking Cookie (spyware)

System (Disinfected)

System

System

System

System

System

Trojan-Downloader.Win32.Small.eio (virus)

C:\WINDOWS\SYSTEM32\VKDNAAAA.EXE (Renamed & Submitted)

Trojan-Spy.Win32.BZub.hx (virus)

C:\DOCUMENTS AND SETTINGS\WILLY\MIS DOCUMENTOS\BACKUPS\BACKUP-20070322-180531-587.DLL (Renamed & Submitted)

Trojan.Win32.Agent.fd (virus)

C:\DOCUMENTS AND SETTINGS\WILLY\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\MICROSOFT\INTERNET EXPLORER\FILTERS\IEFILTER.DLL (Renamed & Submitted)

Trojan.Win32.AutoIt.z (virus)

C:\WINDOWS\SYSTEM32\INSTALLER.EXE (Renamed & Submitted)

W32/LdPinch.EBK (virus)

D:\ARCHIVOS DE PROGRAMA\WARCRAFT III\BNETGATEWAYEDITOR.EXE (Submitted)

--------------------------------------------------------------------------------

Statistics

Scanned:

Files: 47183

System: 4585

Not scanned: 6

Actions:

Disinfected: 2

Renamed: 4

Deleted: 0

None: 6

Submitted: 5

Files not scanned:

C:\HIBERFIL.SYS

C:\PAGEFILE.SYS

C:\WINDOWS\TEMP\IB2

C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS

C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT

C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{B74FFE63-7C1C-4F42-AB3A-599604BD10E5}.BIN

--------------------------------------------------------------------------------

Options

Scanning engines:

F-Secure Libra: 2.4.2, 2007-03-22

F-Secure AVP: 7.0.171, 2007-03-24

F-Secure Orion: 1.2.37, 2007-03-23

F-Secure Blacklight: 1.0.53, 0000-00-00

F-Secure Draco: 1.0.35, 2007-03-19

F-Secure Pegasus: 1.19.0, 2007-02-14

Scanning options:

Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX

Use Advanced heuristics
 

Caito

Ex- Mod
Miembro
#14
Bueno creo que este te limpió,elimina todo el contenido de las carpetas de cuarentena de los programas que usaste,ejecuta un limpiador de archivos tipo disk cleaner,uno de registro (reg Seekeer),desactiva Restaurar sistema y vuelve a ctivarlo y por último ejecuta el AVG y un scan on line .

Pon los reportes y un nuevo log del hijack

Saludos

Caito

pd:comenta cómo funciona
 

L0tUs

Nuevo Miembro
Miembro
#15
Hola de nuevo, discupen por no haber posteado antes, pero no tube mucho tiempo, recien ahora tenga la posibilidad de postear. Ya hice la limpieza de los archivos con el disk cleaner y el de los registros con reg Seekeer

Aca les dejo el log del AVG (realizado en día domingo)

---------------------------------------------------------

AVG Anti-Spyware - Informe del análisis

---------------------------------------------------------

+ Creado en: 13:31:35 25/03/2007

+ Resultado del análisis:

C:\Documents and Settings\Willy\Cookies\willy@com[1].txt -> TrackingCookie.Com : Limpios.

C:\Documents and Settings\Willy\Cookies\willy@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Limpios.

C:\Documents and Settings\Willy\Cookies\willy@ads.pointroll[2].txt -> TrackingCookie.Pointroll : Limpios.

C:\Documents and Settings\Willy\Cookies\willy@specificclick[2].txt -> TrackingCookie.Specificclick : Limpios.

C:\Documents and Settings\Willy\Cookies\willy@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Limpios.

C:\Documents and Settings\Willy\Cookies\willy@m.webtrends[1].txt -> TrackingCookie.Webtrends : Limpios.

::Fin del informe

Aca el log del scan online que lo acabo de hacer:

KASPERSKY ONLINE SCANNER INFORMEKASPERSKY ONLINE SCANNER INFORME

jueves, 29 de marzo de 2007 8:04:49

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2

(Build 2600)

Kaspersky Online Scanner versión: 5.0.84.0

Ultima actualización: 29/03/2007

Registros en la base antivirus: 272103

Configuración del análisis

Analizar usando las siguientes basesstandard

Analizar archivosverdadero

Analizar bases de correoverdadero

Objetivo a analizarÁreas críticas

C:\WINDOWS

C:\DOCUME~1\Willy\CONFIG~1\Temp\

Estadísticas

Número de objeros analizados12486

Virus encontrados4

Objetos infectados5 / 0

Objetos sospechosos0

Duración del análisis00:27:36

Bombre del objeto infectadoNombre del virusÚltima acción

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{590151A2-AF31-4A4E-AB6C-EAF11036EFD6}.bin

Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{B74FFE63-7C1C-4F42-AB3A-599604BD10E5}.bin

Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked

saltado

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\CustomLo.evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\dflduaaa.exe Infectados:

Trojan-Downloader.Win32.Small.ekq saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\INSTALLER.0XE Infectados: Trojan.Win32.AutoIt.z

saltado

C:\WINDOWS\system32\VKDNAAAA.0XE Infectados:

Trojan-Downloader.Win32.Small.eio saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked

saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked

saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked

saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked

saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked

saltado

C:\WINDOWS\system32\ws2_32.dll:fork2:$DATA Infectados: Trojan.Win32.Pakes

saltado

C:\WINDOWS\system32\wsys.dll Infectados: Trojan.Win32.Pakes saltado

C:\WINDOWS\Temp\ib2 Object is locked saltado

C:\WINDOWS\Temp\ib3 Object is locked saltado

C:\WINDOWS\Temp\ib4 Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

y aca el log del HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 8:19:12, on 29/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\AppServ\Apache\Apache.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\AppServ\mysql\bin\mysqld-nt.exe

C:\WINDOWS\system32\nutsrv4.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

C:\AppServ\Apache\Apache.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Willy\Mis documentos\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {36645342-9475-2663-166A-466739207346} - C:\WINDOWS\system32\ipv6mopk.dll (file missing)

O2 - BHO: CIEPl Object - {51667D91-1720-434F-94E6-435789B50DB7} - C:\WINDOWS\system32\holdapi.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Image Helper - {646782DF-07D9-5816-C17D-32459D631863} - C:\WINDOWS\system\bpmdm32.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\Archivos de programa\Rational\Rational Test\nutcroot\bin\ncoeenv.exe

O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [IEFilter] C:\Documents and Settings\Willy\Configuración local\Datos de programa\Microsoft\Internet Explorer\Filters\IExpl32d.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F61D4603-A90B-4389-AA15-313FF9B02DD7}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: holdapi - holdapi.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Intel® Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

O23 - Service: MySQL - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe

O23 - Service: NuTCRACKERService - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Gracias por la ayuda
 

Caito

Ex- Mod
Miembro
#16
Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )

Desactiva Restaurar Sistema (si tienes ME o XP )

Reinicia en Modo seguro o A prueba de Fallos

Haz que se vean todos los archivos.

Cierra todas las aplicaciones

Ejecuta el Hijack :

Busca “Open the Misc Tools Section"

Selecciona "Open process manager"

Busca los siguientes procesos:

IExpl32d.exe

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:

O2 - BHO: (no name) - {36645342-9475-2663-166A-466739207346} - C:\WINDOWS\system32\ipv6mopk.dll (file missing)

O2 - BHO: CIEPl Object - {51667D91-1720-434F-94E6-435789B50DB7} - C:\WINDOWS\system32\holdapi.dll (file missing)

O2 - BHO: Image Helper - {646782DF-07D9-5816-C17D-32459D631863} - C:\WINDOWS\system\bpmdm32.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [IEFilter] C:\Documents and Settings\Willy\Configuración local\Datos de programa\Microsoft\Internet Explorer\Filters\IExpl32d.exe

O20 - Winlogon Notify: holdapi - holdapi.dll (file missing)

Cierra el Hijack.

Busca estos archivos y los eliminas: (pueden no estar )

C:\Documents and Settings\Willy\Configuración local\Datos de programa\Microsoft\Internet Explorer\Filters\IExpl32d.exe

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Ejecuta el Avg-antispyware

Reinicia normal, conecta Internet, pon el reporte del AVG Anti-Spyware y pega un nuevo log del Hijack.

Saludos

Caito
 
Estado
Cerrado para nuevas respuestas
Arriba Pie