Nuevo Log por el Searchweb2

Estado
Cerrado para nuevas respuestas

jochelito

Nuevo Miembro
Miembro
#1
Ya hice todos los pasos que me decian el el ultimo mensaje y todo parece estar funcionando bien, abri el explorer y no aparecieron las ventanas fastidiosas.

Lo unico raro fue que nunca encontré la carpeta

C:\Archivos de programa\ SAFERE~1\

ni el archivo

C:\WINDOWS\System32\psinki.exe

no se porque puede ser eso.

En serio gracias por la ayuda y pego el ultimo log para ver si hace falta hacer algúna otra correccion.

PD: donde puedo aprender sobre el register? me han dicho que es bien delicado tocar todo eso y se ve que ustedes saben bastante!

Logfile of HijackThis v1.98.2

Scan saved at 10:14:32 PM, on 8/17/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\mpstubw.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\AdAware\Nueva carpeta\HijackThis.exe

C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [mpstubw] C:\WINDOWS\System32\mpstubw.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct1_x.cab

O16 - DPF: Yahoo! Chinese Checkers - http://download.games.yahoo.com/games/clients/y/cct0_x.cab

O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/games/clients/y/grt5_x.cab

O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt2_x.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
 
A

Arwing

Guest
#2
Que no encontraras los archivos no tengo ni idea (si es que puedes ver los archivos ocultos). ¿Ya intentaste usar la opción de Inicio >> Buscar?

Pero en este log veo un nuevo objeto que no es legítimo.

Abre el administrador de procesos y termina el siguiente proceso:

mpstubw.exe

Después con HijackThis marca esta entrada:

O4 - HKLM\..\Run: [mpstubw] C:\WINDOWS\System32\mpstubw.exe

Y dale "Fix".

Después busca este archivo y bórralo:

C:\WINDOWS\System32\mpstubw.exe

Arwing
 

jochelito

Nuevo Miembro
Miembro
#3
No me aparece el mpstubw tampoco, estoy seguro de estar mostrando todos los archivos ocultos. buscando encontré un ejecutable llamado ezStub.exe y me dice que es un ezStub Module de EARNStatBlaster11, este esta en la raiz de C: pero no se que pueda ser, ademas de esto en la misma carpeta tengo un may17_loader.exe que tampoco lo reconozco, sera que pueden ser archivos daninos? cualquier cosa por favor avisenme para ver que hago con esto, vuelvo a pegar otro log por si acaso. Gracias de nuevo por la ayuda y disculpen la molestia

Logfile of HijackThis v1.98.2

Scan saved at 10:23:50 AM, on 8/21/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\WINDOWS\System32\CTFMON.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\cledita.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\s3sole32.exe

C:\WINDOWS\System32\msxman32.exe

C:\Program Files\AutoUpdate\AutoUpdate.exe

C:\Archivos de programa\AdAware\Nueva carpeta\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.el-nacional.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {01C5BF6C-E699-4CD7-BEA1-786FA05C83AB} - C:\Archivos de programa\CxtPls\CxtPls.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [cledita] C:\WINDOWS\System32\cledita.exe

O4 - HKLM\..\Run: [4Fsf3mQ] s3sole32.exe

O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Lo3pRgc9U] msxman32.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct1_x.cab

O16 - DPF: Yahoo! Chinese Checkers - http://download.games.yahoo.com/games/clients/y/cct0_x.cab

O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/games/clients/y/grt5_x.cab

O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt2_x.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
 
A

Arwing

Guest
#4
Es raro que ya no estén (bueno ni tanto) pero si no los encuentras entonces creo que no hay que preocuparse por ellos por ahora. De todos modos hay nueva basura que tienes por ahí. Vamos a quitarla.

Acerca del ezStub.exe realiza lo siguiente:

Encuentra el ezstub.exe y de paso también busca por stub.exe (si usas el programa CuteFTP no borres el stub.exe de la carpeta del CuteFTP)

Abre el MS-DOS, aparecerás en C:\WINDOWS.

Escribe CD SYSTEM (o SYSTEM32 dependiendo de tu sistema). Una vez ahí escribe:

Insertar CODE, HTML o PHP:
ezstub.exe -UnregServer

del ezstub.exe
(o si encuentras stub.exe también has lo mismo).

Ahora busca el archivo ezulaboot.dll, cuando ubiques el directorio has lo mismo en el MS-DOS, llega hasta la carpeta y escribe lo siguiente:

Insertar CODE, HTML o PHP:
regsvr32 -u ezulaboot.dll

del ezulaboot.*
Comandos básicos del MS-DOS que te pueden servir:

del --> borrar determinado archivo

cd (nombre de la carpeta)  --> accesas a la carpeta, dependiendo del nivel donde estés

cd..  --> subes un nivel en el árbol de directorios

exit --> sales del MS-DOS
Acerca del may17_loader.exe me suena a virus del tipo bomba de tiempo. Pero creo que es un troyano. Así que no vendría mal que te escanearas con un Antivirus. Kaspersky parece detectarlo, ya que no parece mostrar muchas señales en tu sistema.

Abre el Administrador de Procesos y termina los siguientes si están:

cledita.exe

s3sole32.exe

msxman32.exe

AutoUpdate.exe

Ahora abre el HijackThis y selecciona los siguientes objetos:

O2 - BHO: (no name) - {01C5BF6C-E699-4CD7-BEA1-786FA05C83AB} - C:\Archivos de programa\CxtPls\CxtPls.dll

O4 - HKLM\..\Run: [cledita] C:\WINDOWS\System32\cledita.exe

O4 - HKLM\..\Run: [4Fsf3mQ] s3sole32.exe

O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"

O4 - HKCU\..\Run: [Lo3pRgc9U] msxman32.exe

Y dale al botón "Fix".

Busca y borra los siguientes archivos y carpetas y bórralos:

C:\WINDOWS\System32\cledita.exe

C:\WINDOWS\System32\s3sole32.exe

C:\WINDOWS\System32\msxman32.exe

C:\WINDOWS\System32\cledita.exe

C:\WINDOWS\System32\s3sole32.exe

C:\WINDOWS\System32\msxman32.exe

C:\Program Files\AutoUpdate\AutoUpdate.exe

C:\Program Files\AutoUpdate\

C:\Archivos de programa\CxtPls\CxtPls.dll

C:\Archivos de programa\CxtPls\

Arwing
 
Estado
Cerrado para nuevas respuestas
Arriba Pie