Necesito ayuda para limpiar archivos dañinos

Estado
Cerrado para nuevas respuestas

Malvarosa

Nuevo Miembro
Miembro
Hola,

Estoy buscando información sobre como limpiar mi equipo de guarrería varias. Tengo instalados, actualizados y corriendo: VirusScan y el antispyware de microsoft. Pero no paro de recibir avisos de virus y otro software (o lo que sea, no llego a tanto), intento eliminarlo con estos programas, y con lo poco que he aprendido en la red. Cuando parece que el equipo esta limpio, mejor dicho, cuando ambos programas dicen que lo está; reinicio y PUMBA, ahí están de nuevo todas las cosas que borré.

He dado por casualidad con vuestro foro, y he visto que enviando un archivo hijackthis.log, quiza podriais ayudarme a pulir un poco más la limpieza.

Gracias por vuestra ayuda y vuestro tiempo.

Os adjunto el archivo:

Logfile of HijackThis v1.99.0

Scan saved at 16:31:51, on 19/01/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\SYSTEM32\rundll32.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINNT\system32\pctspk.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\System32\snmp.exe

C:\WINNT\System32\Tablet.exe

C:\WINNT\System32\mqsvc.exe

C:\Archivos de programa\SiS-USB\sis-usb.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\WINNT\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\rnathchk.exe

C:\WINNT\System32\mqtgsvc.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINNT\System32\wuauclt.exe

C:\Documents and Settings\Administrador\Configuración local\Temp\HijackThiswww.trucoswindows.net]trucoswindows.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gmail.google.com/gmail

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50184

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts file is located at: C:\WINNT\nsdb\hosts

O1 - Hosts: 81.211.105.69 lender-search.com

O1 - Hosts: 81.211.105.68 hot-searches.com

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)

O4 - HKLM\..\Run: [SiS-USB] C:\Archivos de programa\SiS-USB\sis-usb.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [VBundleOuterDL] C:\Archivos de programa\VBouncer\BundleOuter.EXE

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [sais] c:\archivos de programa\180solutions\sais.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.ysbweb.com

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.ysbweb.com (HKLM)

O15 - Trusted IP range: 67.19.185.246

O15 - Trusted IP range: 67.19.185.246 (HKLM)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1105643683964

O18 - Filter: text/html - {63ADAB2C-1105-4723-9BEA-C8241CBB95F3} - C:\WINNT\System32\kbhm.dll

O18 - Filter: text/plain - {63ADAB2C-1105-4723-9BEA-C8241CBB95F3} - C:\WINNT\System32\kbhm.dll

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Fax - Unknown - C:\WINNT\system32\fxssvc.exe

O23 - Service: Administración de IIS - Unknown - C:\WINNT\System32\inetsrv\inetinfo.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINNT\System32\imapi.exe

O23 - Service: Servicio de registro de McAfee - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: W2k PCtel speaker phone - Unknown - C:\WINNT\system32\pctspk.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINNT\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Protocolo simple de transferencia de correo (SMTP) - Unknown - C:\WINNT\System32\inetsrv\inetinfo.exe

O23 - Service: Servicio SNMP - Unknown - C:\WINNT\System32\snmp.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\System32\Tablet.exe

O23 - Service: Telnet - Unknown - C:\WINNT\System32\tlntsvr.exe

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINNT\System32\vssvc.exe

O23 - Service: Publicación en World Wide Web - Unknown - C:\WINNT\System32\inetsrv\inetinfo.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINNT\System32\wbem\wmiapsrv.exe
 
A

Arwing

Guest
Hola, con esto debería quedarte limpio el sistema.

Nota: Si desconoces algúno de los procedimientos que te pido (los remarcados en negritas), visita el siguiente enlace donde se explica acerca de esos procedimientos:Manual pasos a seguir para el uso HijackThis

Abre el Administrador de Procesos y cierra los siguientes procesos (pueden o no estar todos los que menciono):

sais.exe

Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.

Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50184

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

O1 - Hosts file is located at: C:\WINNT\nsdb\hosts

O1 - Hosts: 81.211.105.69 lender-search.com

O1 - Hosts: 81.211.105.68 hot-searches.com

O4 - HKLM\..\Run: [sais] c:\archivos de programa\180solutions\sais.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.ysbweb.com

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.ysbweb.com (HKLM)

O15 - Trusted IP range: 67.19.185.246

O15 - Trusted IP range: 67.19.185.246 (HKLM)

O18 - Filter: text/html - {63ADAB2C-1105-4723-9BEA-C8241CBB95F3} - C:\WINNT\System32\kbhm.dll

O18 - Filter: text/plain - {63ADAB2C-1105-4723-9BEA-C8241CBB95F3} - C:\WINNT\System32\kbhm.dll

Y da click en el botón "Fix Checked"

Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos

Ahora busca los siguientes archivos y carpetas y bórralos:

c:\archivos de programa\180solutions\

C:\WINNT\System32\kbhm.dll

Puedes optimizar un poco más tu sistema si desactivas algúnos programas no indispensables o no requeridos que se ejecutan al arrancar tu sistema (todos estos programas son legales, pero no tiene caso que arranquen si sólo gastan recursos y no los usamos).

Abre el msconfig (Inicio >> Ejecutar >> msconfig) y en la pesaña Inicio puedes desmarcar los siguientes:

Real

Nero

MSN Messenger

O si no, con el mismo HijackThis puedes marcarlas, vendrían siendo estas:

O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

Reinicia el sistema, pruébalo y dime si ha mejorado. Postea otro Log para ver si tu sistema ha quedado limpio de malware.

Saludos

Arwing
 

Malvarosa

Nuevo Miembro
Miembro
Hola Arwing,

Ante todo gracias por tu ayuda.

Te cuento, he hecho los cambios que me comentabas y al reiniciar me aparece un mensaje diciendome que los cambios que hecho en las cargas de inicio son provisionales, lo cierro y me abre la ventana con la ficha de inicio. No sé si es normal, lo he reiniciado y me ha pasado lo mismo.

Tambien me aparecen tres iconos en el escritorio que he borrado miles de veces: online dating (con un corazoncito), cheap holliday travel (con un avioncito) y Free online music (con un disco de música). Además me salta el VirusScan notificandome que se ha detectado un "RedirectedHost" y dice que lo ha limpiado; me salta un aviso del AntiSpyware de microsoft, diciendo que ha habido un intento de redireccionar el navegador, (que ya tenia marcado como para bloquear).

Otra cosa, cuando he abierto el menú inicio, tenia algúnas entradas como "bundleOuter", que corresponde a: "archivos de programa/VBouncer/BundleOuter.exe"; ntnut que corresponde a W32/System32/ntnut.exe home"; kpaz.exe; etc... que aunque estaban desactivadas, todas menos el BundleOuter (que he desactivado en cuanto la he visto) me mosquean un poco, ¿deben estar ahí?

Se me ocurre repetir de nuevo todos los pasos que me has marcado, y si puedes decirme algo más te lo agradezco.

Muchas gracias,

Saludos :confused:
 
A

Arwing

Guest
Pues en el Log original no estaban, así que simplemente están ahí pero no se ejecutan, y si no los conoces o no los has instalado tu entonces te recomendaría que los borraras, puedes borrar los accesos directos del menú Inicio también. Posteame otro log para ver cómo quedó.

Arwing
 

Malvarosa

Nuevo Miembro
Miembro
Hola,

No sé como borrar los accesos directos del menú inicio. Intento localizar los archivos en el disco duro y no aparecen.

El antivirus y el antispy no detectan nada.

Voy a reiniciar y ya veremos que pasa.
 

Malvarosa

Nuevo Miembro
Miembro
Ah, se me olvido incluir el log:

Logfile of HijackThis v1.99.0

Scan saved at 20:06:06, on 19/01/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\SYSTEM32\rundll32.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINNT\system32\pctspk.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\System32\snmp.exe

C:\WINNT\System32\Tablet.exe

C:\WINNT\System32\mqsvc.exe

C:\WINNT\System32\mqtgsvc.exe

C:\Archivos de programa\SiS-USB\sis-usb.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\WINNT\System32\ctfmon.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\rnathchk.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINNT\System32\wuauclt.exe

C:\Archivos de programa\Network Associates\VirusScan\SCAN32.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Administrador\Configuración local\Temp\HijackThiswww.trucoswindows.net]trucoswindows.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gmail.google.com/gmail

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)

O4 - HKLM\..\Run: [SiS-USB] C:\Archivos de programa\SiS-USB\sis-usb.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINNT\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1105643683964

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Fax - Unknown - C:\WINNT\system32\fxssvc.exe

O23 - Service: Administración de IIS - Unknown - C:\WINNT\System32\inetsrv\inetinfo.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINNT\System32\imapi.exe

O23 - Service: Servicio de registro de McAfee - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: W2k PCtel speaker phone - Unknown - C:\WINNT\system32\pctspk.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINNT\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Protocolo simple de transferencia de correo (SMTP) - Unknown - C:\WINNT\System32\inetsrv\inetinfo.exe

O23 - Service: Servicio SNMP - Unknown - C:\WINNT\System32\snmp.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\System32\Tablet.exe

O23 - Service: Telnet - Unknown - C:\WINNT\System32\tlntsvr.exe

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINNT\System32\vssvc.exe

O23 - Service: Publicación en World Wide Web - Unknown - C:\WINNT\System32\inetsrv\inetinfo.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINNT\System32\wbem\wmiapsrv.exe

Gracias.
 
A

Arwing

Guest
Oye una duda, ¿tienes Windows 2000 o XP?

Dándole click derecho sobre esos accesos te debería aparecer algúna opción para removerlos.

Pues tu log está limpio. No sé de dónde vendrán esas amenzas de las que te avisan los programas. Realiza un escaneo con Ad-aware SE 1.05 y/o SpyBot Search&Destroy 1.3.

Ah, el mensaje de Inicio es normal, pues desactivaste algúnas cosas en el msconfig.

Arwing
 

Malvarosa

Nuevo Miembro
Miembro
Tengo XP, pero no me deja usar el botón derecho dentro de inicio, al ejecutar msconfig. Y cuando le digo que se inice normalmente, activa todas las entradas. Como te digo, solo veo esos accesos dentro de inicio en msconfig, pero no en disco duro, ¿donde se localizan?

Gracias
 
A

Arwing

Guest
Ah, yo te entendí el menú Inicio de la Barra de Tareas, no la pestaña Inicio del msconfig XD.

Bueno, si no encuentras esas carpetas en el Disco Duro ya no deben de existir, para borrar esas entradas del msconfig tendrías que borrarlas desde el regedit. Pero con desactivarlas basta, cuando arranque Windows de nuevo y te pregunte le dices que ya no te moleste en avisarte, no sucede nada.

Saludos

Arwing
 

Malvarosa

Nuevo Miembro
Miembro
:D Hola de nuevo,

El pc quedo más o menos bien, si no lo conecto a internet va perfecto. En cuanto se conecta salta el mensajito de redireccionamiento del host, pero el antivirus lo limpia y... bueno vá.

Me gustaría abusar un poco más de tus conocimientos, te cuento: tengo otra máquina también con xp, y desde hace un par de dias, cuando conecto a internet (y solo entonces), me dice que hay un error grave y cierra el navegador; pero abre otra ventana que intenta cargar un dialer. Por loque he visto es algo denomiado TIB Brouncer; en el registro me crea uno o más archivos del tipo "tmpxxx.tmp", cierro los procesos *.tmp; y puedo entrar en internet sin problema, no dá más avisos de error ni nada.

Con los conocimientos de tu ayuda anterior (y un poco de valentía :eek: ), he retocado el log del Hijackthis, pero continúo con el mismo problema.

Una cosa más, también tengo un proceso en marcha denominado Isass.exe (he visto en el foro que puede no ser bueno, pero no me deja cerrarlo por tratase de un proceso crítico).

Te envio el archivo del Hijackthis tal y como lo tengo ahora.

:eek: Gracias anticipadas:

Logfile of HijackThis v1.99.0

Scan saved at 0:33:19, on 20/01/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\cisvc.exe

C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\WINDOWS\System32\mgabg.exe

C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\Tablet.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\PDesk\PDesk.exe

C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 4.0\Distillr\AcroTray.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\cidaemon.exe

C:\ARCHIV~1\WinZip\winzip32.exe

C:\DOCUME~1\manolo\CONFIG~1\Temp\HijackThiswww.trucoswindows.net]trucoswindows.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {45A6A233-80B6-2785-629E-11198D494FCD} - C:\WINDOWS\System32\yersuqnp.dll

O2 - BHO: (no name) - {4A81A7DE-4C5C-A68B-BB62-9939F2F8A23D} - C:\WINDOWS\System32\pkotqwoi.dll

O2 - BHO: (no name) - {751E6CBD-1101-F6FA-DEB5-63C78D072042} - C:\WINDOWS\System32\fryfuhoq.dll

O2 - BHO: (no name) - {CE51EEB7-82DE-4E01-EDBC-6280F6ECE0A0} - C:\WINDOWS\System32\iumqzvee.dll

O2 - BHO: (no name) - {FCE2D33D-9FDD-F5E8-02C9-375C335D88B4} - C:\WINDOWS\System32\lbfqzqhh.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [host] C:\WINDOWS\system32\hosts.vbs

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: winupdate05294109[1].exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 4.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: QuickTV.lnk = C:\AVERTV2K\QuickTV.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{AB688431-626C-4037-A985-201DC2F049D9}: NameServer = 62.151.2.8 62.151.8.100

O23 - Service: DefWatch - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: InCD Helper - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

alnitak

Ex-Admin
Miembro
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Je, no ha quedado nada bien en realidad

Por favor, bájate e instala el programa Disk Cleaner

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Como mostrar archivos ocultos

Desactiva la opción de restaurar el sistema

Como activar/desactivar restaurar el sistema

Ejecuta el HJT >> open the misc tools section >> delete a file on reboot >> selecciona uno a la vez estos archivos:

C:\WINDOWS\System32\yersuqnp.dll

C:\WINDOWS\System32\pkotqwoi.dll

C:\WINDOWS\System32\fryfuhoq.dll

C:\WINDOWS\System32\iumqzvee.dll

C:\WINDOWS\System32\lbfqzqhh.dll

Acepta y reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Ejecuta el HijackThis 1.99.0, dale a Do a System Scan Only , revisa las casillas de las siguientes entradas y dale a fix checked:

O2 - BHO: (no name) - {45A6A233-80B6-2785-629E-11198D494FCD} - C:\WINDOWS\System32\yersuqnp.dll

O2 - BHO: (no name) - {4A81A7DE-4C5C-A68B-BB62-9939F2F8A23D} - C:\WINDOWS\System32\pkotqwoi.dll

O2 - BHO: (no name) - {751E6CBD-1101-F6FA-DEB5-63C78D072042} - C:\WINDOWS\System32\fryfuhoq.dll

O2 - BHO: (no name) - {CE51EEB7-82DE-4E01-EDBC-6280F6ECE0A0} - C:\WINDOWS\System32\iumqzvee.dll

O2 - BHO: (no name) - {FCE2D33D-9FDD-F5E8-02C9-375C335D88B4} - C:\WINDOWS\System32\lbfqzqhh.dll

O4 - HKLM\..\Run: [host] C:\WINDOWS\system32\hosts.vbs

O4 - Startup: winupdate05294109[1].exe



Cierra el HijackThis, elimina los archivos temporales y cookies con el disk cleaner: marcas las casillas System Tempory Files, Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.

Reinicia normalmente y reactiva la opción de restaurar el sistema.

Instala la ultima versión de Ad Aware SE, actualízalo y escanéate para que termine de limpiar.

Actualiza tu sistema a través del Windows Update y bájate todas las actualizaciones críticas disponibles para tu sistema operativo.

Toma otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 
A

Arwing

Guest
:D Hola de nuevo,

El pc quedo más o menos bien, si no lo conecto a internet va perfecto. En cuanto se conecta salta el mensajito de redireccionamiento del host, pero el antivirus lo limpia y... bueno vá.
¿El antivirus no te da más información? ¿O algún botón para buscar más información? Busca en la advertencia que te da y dame todos los detalles que puedas.

Supongo que el Log anterior es de la otra máquina ¿no? :eek:

Arwing
 

Malvarosa

Nuevo Miembro
Miembro
Hola,

he hecho los cambios que me decias en la segunda máquina, parece que va bien, pero reviso el nuevo log y me cambia algúnas entradas que corresponden a direcciones de internet, que van a http://www.sharempeg.com/find.

Los elimino del log, reinicio y aprecen de nuevo, el antispyware de microsoft, me avisa de que se van a cambiar las opciones, le doy al Block, pero las cambia, o estaban cambiadas ya.

Este el log que acabo de hacer:

Logfile of HijackThis v1.99.0

Scan saved at 12:27:38, on 20/01/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\cisvc.exe

C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\WINDOWS\System32\mgabg.exe

C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\Tablet.exe

C:\WINDOWS\System32\PDesk\PDesk.exe

C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Adobe\Acrobat 4.0\Distillr\AcroTray.exe

C:\WINDOWS\System32\cidaemon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\ARCHIV~1\WinZip\winzip32.exe

C:\DOCUME~1\manolo\CONFIG~1\Temp\HijackThiswww.trucoswindows.net]trucoswindows.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.sharempeg.com/find/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sharempeg.com/find/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.search-2003.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.sharempeg.com/find/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sharempeg.com/find/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sharempeg.com/find/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 4.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: QuickTV.lnk = C:\AVERTV2K\QuickTV.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O23 - Service: DefWatch - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: InCD Helper - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

alnitak

Ex-Admin
Miembro
No sale el proceso o BHO responsable de ese secuestro, por favor instala Kaspersky y escaneate para ver si encuentra algún troyano oculto.

Toma otro log a ver si ya sale el responsable.
 

Malvarosa

Nuevo Miembro
Miembro
Hola,

Espero no hacerte un lio: el segundo ordenado parece que este bien, le pasaré el kaspersky y ya te contaré; volviendo al primero, parecía que todo iba bien, y al conectar a internet, comenzaban a aparecer mensajes de VirusScan, me pedías que diese más información, a ver si te vale con ésta (creo que ésta en el orden que me aparecen):

--------------------------------------------

Nombre: hosts

En la carpeta: c:/winnt/system32/drivers/etc

Detectado como: Redirected HOSTS

Tipo de detección: Programa

Estado: Limpiado

Aplicación: winlogon.exe

Aunque dice que esta limpiado, vuelve a aparecer cada vez que me conecto. He abierto el archivo hosts y lo he dejado en blanco. Cuando vuelve a aparecer el mensaje me ha creado dentro del archivo las mismas ips que borré.

--------------------------------------------

Nombre: 00005e58.EXE

En la carpeta: c:/documents and settings/administrador/configuración local/archivos temporales de internet/content.IE5/4LKV4B87/AppWrap[1].exe

Detectado como: Vundo

Tipo de detección: Troyano

Estado: Fallo al migrar (fallo al limpiar)

Aplicación: winlogon.exe

Este es uno de los que aparece en msconfig/inicio como deshabilitado. He pasado el AntiSpyware y el Disk Cleaner antes de que apareciese. Desde VirusScan no me deja eliminarlo tampoco.

--------------------------------------------

Nombre: 00005e58.EXE

En la carpeta: c:/winnt/Temp./bw2.exe

Detectado como: Vundo

Tipo de detección: Troyano

Estado: Eliminado

Aplicación: winlogon.exe

Aparece cada vez que me conecto a la web. Tambien esta en msconfig/inicio como deshabilitado.

--------------------------------------------

Nombre: SED.EXE

En la carpeta: c:/archivos de programa/sed

Detectado como: Qdial28

Tipo de detección: Troyano

Estado: Eliminado

Aplicación: sed.exe

Este lo he borrado varias veces (seguro que mal, porque sigue apareciendo).

--------------------------------------------

Nombre: GLH0001.TMP (delante de la g vá un simbolito como de agua, que no sé como escribir)

En la carpeta: c:/archivos de programa/VBouncer

Detectado como: Virtual Bouncer

Tipo de detección: Programa

Estado: Eliminado

Aplicación: GLB10.tmp

Como los anteriores, siempre acaba apareciendo al conectarme. Lo he borrado varias veces y nada. Tambien esta en mconfig/inicio como deshabilitado.

--------------------------------------------

Nombre: Archivo de comandos ejecutado por IEXPLORE.EXE

En la carpeta:

Detectado como: Exploit-IEPageSpoof

Tipo de detección: Troyano

Estado: Ejecución de archivo de comandos bloqueada

Aplicación: IEXPLORE.EXE

--------------------------------------------

Además, AntiSpyware me dá un par de avisos, y me dice que lo pase. Al hacerlo detecta lo siguiente:

Virtual Bouncer (Adware) en:

C:/archivos de programa/vbouncer/setup.ini

C:/archivos de programa/vbouncer

Y la acción que recomienda es Quarantine

-------------------------------------------

NetworkEssentials (Browser Plug-in) en:

Aproximadamente unas 80 entradas de HKEY-LOCAL-MACHINE

Y la opción que recomienda es Remove

-------------------------------------------

Acabo de hacer esto. Y me dice que esta limpio.

------

Tengo en el escritorio los tres iconos que te comentaba ayer (corazon, avión y musica).

He olvidado comentarte que me ha cortado la conexión a internet, por lo que he tenido que rehacer todo el mensaje.

Te envio también un nuevo log.

Sobra decir lo preocupado que estoy con todo esto y lo mucho que te agradezaco tu ayuda.

Saludos,

------------------------------------

Logfile of HijackThis v1.99.0

Scan saved at 18:27:57, on 20/01/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\SYSTEM32\rundll32.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\inetsrv\inetinfo.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINNT\system32\pctspk.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\System32\snmp.exe

C:\WINNT\System32\Tablet.exe

C:\WINNT\System32\mqsvc.exe

C:\WINNT\System32\mqtgsvc.exe

C:\Archivos de programa\SiS-USB\sis-usb.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\WINNT\System32\ctfmon.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINNT\System32\wuauclt.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\rnathchk.exe

C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE

C:\WINNT\msagent\AgentSvr.exe

C:\Archivos de programa\Microsoft Office\Office\3082\msohelp.exe

C:\WINNT\System32\msiexec.exe

C:\Documents and Settings\Administrador\Escritorio\Ie6\HijackThiswww.trucoswindows.net]trucoswindows.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gmail.google.com/gmail

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)

O4 - HKLM\..\Run: [SiS-USB] C:\Archivos de programa\SiS-USB\sis-usb.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [TkBellExe] C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [VBundleOuterDL] C:\Archivos de programa\VBouncer\BundleOuter.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1105643683964

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Fax - Unknown - C:\WINNT\system32\fxssvc.exe

O23 - Service: Administración de IIS - Unknown - C:\WINNT\System32\inetsrv\inetinfo.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINNT\System32\imapi.exe

O23 - Service: Servicio de registro de McAfee - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: W2k PCtel speaker phone - Unknown - C:\WINNT\system32\pctspk.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINNT\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Protocolo simple de transferencia de correo (SMTP) - Unknown - C:\WINNT\System32\inetsrv\inetinfo.exe

O23 - Service: Servicio SNMP - Unknown - C:\WINNT\System32\snmp.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\System32\Tablet.exe

O23 - Service: Telnet - Unknown - C:\WINNT\System32\tlntsvr.exe

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINNT\System32\vssvc.exe

O23 - Service: Publicación en World Wide Web - Unknown - C:\WINNT\System32\inetsrv\inetinfo.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINNT\System32\wbem\wmiapsrv.exe
 

alnitak

Ex-Admin
Miembro
Bueno, yo ando super liado con esto de que son 2 computadoras diferentes, por eso siempre pido que para cada sistema se habra un solo hilo y que en cada hilo hayan log de un solo sistema que de otro modo terminamos sin entender ya nada.

Este ultimo log que colocas parece estar limpio, pero como acabas de remover cosas con el antivirus es posible que algo se haya quedado oculto en los temporales y no lo podamos ver.

Elimina completamente estas 2 carpetas:

C:/archivos de programa/vbouncer

C:/archivos de programa/sed

Elimina manualmente los iconos indeseados que tienes en el esctitorio

Elimina los archivos temporales, puedes hacerlo rapidamente con el Disk Cleaner: marcas las casillas System Tempory Files, Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.

Despuésde eso reinicia un par de veces y si vuelven a salir cosas raras toma otro log y copialo aquí pero sin pasar el antivirus y sin eliminar nada para ver todas las entradas tal como se crean
 
Estado
Cerrado para nuevas respuestas
Arriba Pie