Paé eñistara y hijack

Estado
Cerrado para nuevas respuestas

yosoydoug

Ex- Mod
Miembro
#1
Hola maestros aquí dejo mis registros y espero instrucciones a seguir

Gracias

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Infectado, CyDoor

C:\Archivos de programa\Act-3D\Quest3D Viewers 3.0e\Channels\624FAFE1-326D-4444-8768-D0D405FE0D23.DLL --> Infectado, Puper-Is (BHO)

C:\Archivos de programa\Act-3D\Quest3D Viewers 3.0e\Channels\DF5BF7F7-C204-4F6E-BDB8-666A53DFCC58.DLL --> Infectado, Puper-Isa

C:\Documents and Settings\Peque\Escritorio\paquetes de desinfeccion\log pasos y plantillas y resumen\no tocar\REBOOT.EXE --> Infectado, DollarRevenue (dldr)

y hijack tb

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 0:07:02, on 01/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\keyhook.exe

C:\WINDOWS\htpatch.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\hijack\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google..com.ar

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\ahead\Nero BackItUp\NBJ.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunServices: [Intec Service Drivers] msmsgrs.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunServices: [Intec Service Drivers] msmsgrs.exe (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{A3052745-B22F-4B57-BFE7-3DCCD8F821E8}: NameServer = 200.85.32.2,200.85.32.3

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--

End of file - 6769 bytes
 

lobezzno

Miembro Activo
Miembro
#2
Marca estas entradas en el hijackthis y dale a fix checked:

O4 - HKUS\.DEFAULT\..\RunServices: [Intec Service Drivers] msmsgrs.exe (User 'Default user')

Dinos si tienes algún tipo de problema.

P.D: ¿Los logs que pones son siempre de un mismo pc? Te recuerdo que tienes logs abiertos anteriores en los que debias seguir para no abrir un nuevo tema cada vez que pones un log.

Un saludo y espero que te vaya todo bien Yosoydoug.
 

yosoydoug

Ex- Mod
Miembro
#3
No Maestro no son de la misma pc la otra era de mi novia que hoy recien voy a poder terminar porque tengo que ir a su casa!! gracias

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 9:16:55, on 01/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\keyhook.exe

C:\WINDOWS\htpatch.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijack\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google..com.ar/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\ahead\Nero BackItUp\NBJ.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{A3052745-B22F-4B57-BFE7-3DCCD8F821E8}: NameServer = 200.85.32.2,200.85.32.3

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--

End of file - 6748 bytes

Todo excelente por aca espero ud tb
 

Caito

Ex- Mod
Miembro
#4
Haz un scan on line acá:

http://support.f-secure.com/enu/home/ols.shtml

Nos cuentas

Saludos

Caito
 

yosoydoug

Ex- Mod
Miembro
#5
Hola caito lo he intentado varias veces y no puedo realizar el scan, se cierra a la mitad del escane
 

Rurouni

Nuevo Miembro
Miembro
#6
escoje una de estas

http://www.kaspersky.com/beta?product=161744315

http://housecall.trendmicro.com/

http://www.bitdefender.com/scan8/

http://www.ravantivirus.com/scan/

http://www.windowsecurity.com/trojanscan/

http://us.mcafee.com/root/mfs/default.asp

http://security.symantec.com/sscv6/default...id=ie&venid=sym



Pega el resultado del Scan y un nuevo log de HijackThis.



Un Saludo
 

yosoydoug

Ex- Mod
Miembro
#7
el informe de kaspersky

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

lunes, 02 de abril de 2007 7:01:49

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.0

Ultima actualización: 2/04/2007

Registros en la base antivirus: 273320

-------------------------------------------------------------------------------

Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:

A:\

C:\

D:\

Estadísticas:

Número de objeros analizados: 74240

Virus encontrados: 0

Objetos infectados: 0 / 0

Objetos sospechosos: 0

Duración del análisis: 01:43:50

Bombre del objeto infectado / Nombre del virus / Última acción

C:\System Volume Information\_restore{D594D2B4-FA51-46D0-BE13-B9EFEDF62B9F}\RP61\change.log Object is locked saltado

C:\WINDOWS\SYSTEM32\DRIVERS\fidbox.idx Object is locked saltado

C:\WINDOWS\SYSTEM32\DRIVERS\fidbox.dat Object is locked saltado

C:\WINDOWS\SYSTEM32\DRIVERS\fidbox2.idx Object is locked saltado

C:\WINDOWS\SYSTEM32\DRIVERS\fidbox2.dat Object is locked saltado

C:\WINDOWS\SYSTEM32\config\system.LOG Object is locked saltado

C:\WINDOWS\SYSTEM32\config\software.LOG Object is locked saltado

C:\WINDOWS\SYSTEM32\config\default.LOG Object is locked saltado

C:\WINDOWS\SYSTEM32\config\SECURITY Object is locked saltado

C:\WINDOWS\SYSTEM32\config\SAM Object is locked saltado

C:\WINDOWS\SYSTEM32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\SYSTEM32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\SYSTEM32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\SYSTEM32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\SYSTEM32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\SYSTEM32\config\SYSTEM Object is locked saltado

C:\WINDOWS\SYSTEM32\config\SOFTWARE Object is locked saltado

C:\WINDOWS\SYSTEM32\config\DEFAULT Object is locked saltado

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\SYSTEM32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\SYSTEM32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\SYSTEM32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\SYSTEM32\h323log.txt Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\TEMP\~DFD34A.tmp Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\Archivos de programa\eMule\Temp\010.part Object is locked saltado

C:\Archivos de programa\eMule\Temp\002.part Object is locked saltado

C:\Archivos de programa\eMule\Temp\013.part Object is locked saltado

C:\Archivos de programa\eMule\Temp\025.part Object is locked saltado

C:\Archivos de programa\eMule\Temp\027.part Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\report.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\eventlog.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\detected.idx Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\detected.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\03cd_Scan_Startup_eventlog.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\03ae_File_Monitoring_eventlog.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP6\Report\03b2_Web_Monitoring_eventlog.rpt Object is locked saltado

C:\Documents and Settings\Peque\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Peque\Configuración local\Temp\Perflib_Perfdata_5c8.dat Object is locked saltado

C:\Documents and Settings\Peque\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Peque\Configuración local\Historial\History.IE5\MSHist012007040120070402\index.dat Object is locked saltado

C:\Documents and Settings\Peque\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Peque\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Peque\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Peque\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

Análisis completado.
 

Caito

Ex- Mod
Miembro
#8
Baja este programa:

Dr.Web CureIt

Dr.Web CureIt!

Doble click en drweb-cureit.exe

Clic en Star para que comience el scaneo

Al principio verifica la memoria y tienes que cliquear Yes cuando te pregunte si quieres que tal archivo sea curado (cure it ),esto es un scan rápido

Tambien te puede aparecer un pop up ofreciendo la posibilidad de comprar el programa ,solo elimina ese pop up y sigue…

Cuando ese scan termine haz clic en Options > Change settings

Elige la solapa Scan y destildas "Heuristic analysis".

Ahora vuelve a la ventana principal y eliges los discos a scanear:

elige “All Drives”,un punto rojo te indica cuales elegiste

Haz clic en la flecha verde ubicada a la derecha y comenzará el scaneo

Click 'Yes to all' si te pregunta si quieres “Cure” o “Move “ los archivos

Cuando el scaneo termine te fijas en los archivos encontrados y junto a ellos se halla un ícono trata de cliquear en ese y si puedes cliquea en otro ícono a la derecha y elige Move incurable

Esto pondrá esos archivos en “%userprofile%\DoctorWeb\quarantaine-folder”si no han podido “curarse”.

Ahora en el Menu principal clic en File y elige save report list

Guarda ese reporte en tu escritorio (el nombre será DrWeb.csv)

Cierra el programa.

Saludos

Caito
 

yosoydoug

Ex- Mod
Miembro
#9
Aqui el report

A0015028.exe;C:\System Volume Information\_restore{D594D2B4-FA51-46D0-BE13-B9EFEDF62B9F}\RP31;Tool.Prockill;Incurable.Movido.;

A0015030.exe;C:\System Volume Information\_restore{D594D2B4-FA51-46D0-BE13-B9EFEDF62B9F}\RP31;Tool.ShutDown.11;Incurable.Movido.;

A0015041.exe;C:\System Volume Information\_restore{D594D2B4-FA51-46D0-BE13-B9EFEDF62B9F}\RP31;Tool.Prockill;Incurable.Movido.;

A0015042.exe;C:\System Volume Information\_restore{D594D2B4-FA51-46D0-BE13-B9EFEDF62B9F}\RP31;Tool.ShutDown.11;Incurable.Movido.;

A0019364.ocx;C:\System Volume Information\_restore{D594D2B4-FA51-46D0-BE13-B9EFEDF62B9F}\RP49;Trojan.Isbar.439;Eliminado.;

Process.exe;C:\WINDOWS\SYSTEM32;Tool.Prockill;Incurable.Movido.;

Process.exe;C:\Documents and Settings\Peque\Escritorio\paquetes de desinfeccion\log pasos y plantillas y resumen\no tocar;Tool.Prockill;Incurable.Movido.;

restart.exe;C:\Documents and Settings\Peque\Escritorio\paquetes de desinfeccion\log pasos y plantillas y resumen\no tocar;Tool.ShutDown.11;Incurable.Movido.;
 

yosoydoug

Ex- Mod
Miembro
#11
La maquína esta funcionando bien

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 7:29:31, on 04/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\keyhook.exe

C:\WINDOWS\htpatch.exe

C:\Archivos de programa\Winamp\Winampa.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Documents and Settings\Peque\Escritorio\vegas70d_enu.exe

C:\Archivos de programa\Sony Setup\Vegas 7.0\setup.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijack\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe

O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\RunOnce: [msisetup] C:\Archivos de programa\Sony Setup\Vegas 7.0\setup.exe -l enu

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A3052745-B22F-4B57-BFE7-3DCCD8F821E8}: NameServer = 200.85.32.2,200.85.32.3

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--

End of file - 7087 bytes
 

Lestat

Ex- Mod
Miembro
#12
Tu log esta limpio, pero desinstala JAVA e instala su ultima version.

Un Saludo :ok:
 
Estado
Cerrado para nuevas respuestas
Arriba Pie