¿Procesos normales o virus?

Estado
Cerrado para nuevas respuestas

CatOngura

Nuevo Miembro
Miembro
#1
Hola a todos,

cómo veréis soy nuevo en éste foro. Lo he encontrando buscando varia información.

Os explico mi problema:

Abro la pantalla de procesos y veo que hay muchos; algúnos los está ejecutando el usuario, y otros el System. Sospecho que algúnos són, o bién virus, o de estos de publicidad y de otras cosas.

¿Cómo lo puedo saber?, ¿cómo los quito?

Ya he pasado un antivirus on-line y mi antivirus en modo prueba de fallos.

Gracias.
 
E

ericweb

Guest
#2
Hola CatOngura, te recomiendo que te bajes el hijackthis y que pongas el log aca así te podemos ayudar.

saludos

ericweb
 

alnitak

Ex-Admin
Miembro
#3
Puedes bajarte el HijackThis aquí:

HijackThis

Crea una nueva carpeta y lo salvas en ella, depsues lo ejecutas>>le das a Scan>>Save Log>>copia el contenido y lo colocas aquí para verlo.

Tambien le das a Config>>misc Tools>>Generate Startuplist y también nos colocas ese log
 

CatOngura

Nuevo Miembro
Miembro
#4
Hola de nuevo, perdonad por el retraso, no he podido hacerlo antes.

Aquí lo tenéis.

Logfile of HijackThis v1.98.2

Scan saved at 14:27:01, on 19/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\AppServ\Apache\Apache.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\AppServ\mysql\bin\mysqld-nt.exe

C:\Programari\Norton Antivirus 2004\navapsvc.exe

C:\AppServ\Apache\Apache.exe

C:\Programari\WinPoET40\WrOS.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Programari\Norton Antivirus 2004\SAVScan.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Programari\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programari\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {68AE620B-904E-0891-D357-63550CAC2A43} - C:\WINDOWS\System32\aijilhe.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programari\Norton Antivirus 2004\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programari\Norton Antivirus 2004\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe

O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe

O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\OFFICC~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\OFFICC~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Y el otro .log:

StartupList report, 19/08/2004, 14:27:48

StartupList version: 1.52.2

Started from : C:\Programari\HijackThis\HijackThis.EXE

Detected: Windows XP SP1 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\AppServ\Apache\Apache.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\AppServ\mysql\bin\mysqld-nt.exe

C:\Programari\Norton Antivirus 2004\navapsvc.exe

C:\AppServ\Apache\Apache.exe

C:\Programari\WinPoET40\WrOS.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Programari\Norton Antivirus 2004\SAVScan.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Programari\HijackThis\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ccApp = "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

Microsoft Update = msconfg.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Microsoft Update = msconfg.exe

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Microsoft Update = msconfg.exe

MSMSGS = "C:\Archivos de programa\Messenger\msmsgs.exe" /background

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\WINDOWS\twaintec.dll (file missing) - {000020DD-C72E-4113-AF77-DD56626C6C42}

(no name) - C:\Programari\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\WINDOWS\System32\aijilhe.dll - {68AE620B-904E-0891-D357-63550CAC2A43}

NAV Helper - C:\Programari\Norton Antivirus 2004\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Analizar el equipo.job

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[ActiveScan Installer Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll

CODEBASE = http://www.pandasoftware.com/activescan/as5/asinst.cab

[{9F1C11AA-197B-4942-BA54-47A8489BB47F}]

CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/...8200.3496180556

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------

End of report, 4.866 bytes

Report generated in 0,040 seconds

Command line options:

  /verbose  - to add additional info on each section

  /complete - to include empty sections and unsuspicious data

  /full    - to include several rarely-important sections

  /force9x  - to include Win9x-only startups even if running on WinNT

  /forcent  - to include WinNT-only startups even if running on Win9x

  /forceall - to include all Win9x and WinNT startups, regardless of platform

  /history  - to list versión history only
Gracias

PD: ¿podríais hacer algún comentario del programa y más o menos que es cada cosa? Lo digo para aprender cómo va y eso...

Gracias de nuevo
 

alnitak

Ex-Admin
Miembro
#5
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Estás infectado por un malware que no logro identificar, probablemente algún gusano nuevo.

Quedan también rastros de una infeccion anterior del adware Twain Tech

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/0fa5e8fc8094b98088256aca004dcefb/47828ea8f95e786a85256d74004bf94b?OpenDocument

Reinicia el sistema en modo seguro:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/0fa5e8fc8094b98088256aca004dcefb/2eb701113550b16e88256e2b006ca965?OpenDocument

Desactiva la opción de restaurar el sistema:

http://service1.symantec.com/SUPPORT/INTER...020515173946924

Inicia el hijackthis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)

Dale a Scan , revisa la casilla al lado de las siguientes entradas y dale a Fix

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)

O2 - BHO: (no name) - {68AE620B-904E-0891-D357-63550CAC2A43} - C:\WINDOWS\System32\aijilhe.dll

O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe

O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe

O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe

Elimina estos archivos:

C:\WINDOWS\System32\aijilhe.dll

msconfg.exe (no confundir con msconfig.exe)

Reinicia normalmente, reactiva la opción de restaurar el sistema y toma otro log.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Algunos comentarios tal como me has pedido:

Tienes una lista de la mayoría de los BHO(acrinimo de Browser Helper Objects) y toolbars aquí:

http://computercops.biz/CLSID.html

Este: O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)

no hace ni falta buscarlo porque por el nombre asociado es claramente una entrada del Twain Tech:

http://www.pchell.com/support/twaintec.shtml

nos sale file missing por lo tanto el archivo ha sido removido, tal vez por tu antivirus o por algún programa antispyware, pero la entrada ha quedado y puede llegar a provocar errores del IExplorer por lo tanto hay que removerla

este otro:

O2 - BHO: (no name) - {68AE620B-904E-0891-D357-63550CAC2A43} - C:\WINDOWS\System32\aijilhe.dll

Puedes ver que no existe en la lista. Una busqueda en google por el nombre de la dll tampoco dará resultados. Si algo no existe en google es con un 99,9 % de probabilidades algún malware muy nuevo o que utiliza nombres aleatorios para sus archivos.

Las toolbars son todas legales, pero ya al pasar a las entradas del 04 que le corresponden a todo lo que se arranca con el sistema operativo vemos estas 3 entradas:

O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe

O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe

O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe

De por si casi ningún programa legal usaría las 3 al mismo tiempo, esto lo hacen los malwares para dificultar la remocción. Ademas ese nombre msconfg.exe

es usado claramente para confundir al usuario ya que es muy parecido a msconfig.exe y no le corresponde al ejecutable del Microsoft Update como quiere hacernos creer por lo tanto es seguramente un malware. Una rapida busqueda en google nos lo confirmará, pero solo encontraremos referencias a este archivo en algúnos foros gringos, nada en Español y nada en las paginas oficiales de los antivirus, por lo tanto se trata de algún malware nuevo, probablemente un gusano por el patrón de infeccion. (osea por colocar esas 3 entradas de registro juntas)
 

CatOngura

Nuevo Miembro
Miembro
#6
Buenas,

Primero: muchas gracias, me parece increible que podáis conocer todo ésto, es cómo aquel que se sabe mover por el registro del Windows.

Segundo

Parece que he tenido algún problema:

1- Cuando dices que desactive la opción de restaurar el sistema, ¿a que te refieres? Lo digo porqué la casilla de verificación pone "Desactiva Restaurar el sistema" de forma que si activo la casilla, se desactiva la opción "Desactiva Restaurar el sistema", en cambio si la dejo activada queda desactivada la opción restaurar el sistema

2- No he encontrado los arxivos msconfg.exe ni tampoco C:\WINDOWS\System32\aijilhe.dll

i aquí pongo el .log:

Logfile of HijackThis v1.98.2

Scan saved at 18:57:01, on 19/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\AppServ\Apache\Apache.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\AppServ\mysql\bin\mysqld-nt.exe

C:\Programari\Norton Antivirus 2004\navapsvc.exe

C:\Programari\WinPoET40\WrOS.EXE

C:\AppServ\Apache\Apache.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Programari\Norton Antivirus 2004\SAVScan.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Programari\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programari\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programari\Norton Antivirus 2004\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programari\Norton Antivirus 2004\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\OFFICC~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\OFFICC~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D38671F1-EED2-4133-A329-2BF888D98E9A}: NameServer = 80.58.34.97 80.58.4.33
Y el otro no sé si es necesario, pero lo pongo:

StartupList report, 19/08/2004, 18:57:29

StartupList version: 1.52.2

Started from : C:\Programari\HijackThis\HijackThis.EXE

Detected: Windows XP SP1 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\AppServ\Apache\Apache.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\AppServ\mysql\bin\mysqld-nt.exe

C:\Programari\Norton Antivirus 2004\navapsvc.exe

C:\Programari\WinPoET40\WrOS.EXE

C:\AppServ\Apache\Apache.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Programari\Norton Antivirus 2004\SAVScan.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Programari\HijackThis\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ccApp = "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MSMSGS = "C:\Archivos de programa\Messenger\msmsgs.exe" /background

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programari\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

NAV Helper - C:\Programari\Norton Antivirus 2004\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Analizar el equipo.job

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[ActiveScan Installer Class]

InProcServer32 = C:\WINDOWS\Downloaded Program Files\asinst.dll

CODEBASE = http://www.pandasoftware.com/activescan/as5/asinst.cab

[{9F1C11AA-197B-4942-BA54-47A8489BB47F}]

CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/...8200.3496180556

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------

End of report, 4.461 bytes

Report generated in 0,020 seconds

Command line options:

  /verbose  - to add additional info on each section

  /complete - to include empty sections and unsuspicious data

  /full    - to include several rarely-important sections

  /force9x  - to include Win9x-only startups even if running on WinNT

  /forcent  - to include WinNT-only startups even if running on Win9x

  /forceall - to include all Win9x and WinNT startups, regardless of platform

  /history  - to list versión history only
Gracias de nuevo
 

alnitak

Ex-Admin
Miembro
#7
Hola. Desactivar la opción de restaurar el sistema es necesario cada vez que se quiere remover un virus que se aloje en la carpeta de sistema. Esto se debe a que Windows restaura automáticamente los archivos borrados cuando se ancuentran en esta carpeta, ademasestos malwares son respaldados y si en el futuro decides usar un punto de restauracion anterior a la remoccion del virus te volverías a infectar.

Para desactivarla:

Tecla de Windows + tecla de pausa >> pestana restaurar el sistema >>Marca la casilla de Desactivar restaurar el sistema en todas las unidades.

Para reactivarla lo mismo de arriba pero esta vez descmarcas la casilla.

El archivo: C:\WINDOWS\System32\aijilhe.dll debe existir o en el log habria salido (file missing)

El archivo msconfg.exe puede existir o no existir, esto no lo podemos saber desde el log, pero es probable que exista puesto que los antivirus no lo conocen y por lo tanto no deberian poderlo remover. Se debería encontrar en la carpeta C:\WINDOWS\System32\ o en otra carpeta que esté agregada al path puesto que sale cin la dirección completa. Ejecuta una busqueda en tu Sistema para encontralo después de haber seguido estas instrucciones:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/0fa5e8fc8094b98088256aca004dcefb/47828ea8f95e786a85256d74004bf94b?OpenDocument

Para que tu sistema muestre los arcvhivos y carpetas ocultas.

De todo modo aunque no elimines fisicamente estos archivos el HijackThis ya ha removido las entradas de registro que lo ejecutaban, por lo tanto no estás infectado. Eliminar los ejecutables es mas bien una garantia adicional de que no los repiques por error en el futuro volviendote a infectar pero no es indispensable.
 

CatOngura

Nuevo Miembro
Miembro
#8
Insertar CODE, HTML o PHP:
for(int i=0;i<1000;i++)

{

      cout<< "Gracias";

}
Si no lo recuerdo mal ( B))

Parece que el problema ha quedado resuelto alnitak. Gracias por todo.

Saludos
 
Estado
Cerrado para nuevas respuestas
Arriba Pie