tengo sospechas..

Estado
Cerrado para nuevas respuestas

Do Eay

Nuevo Miembro
Miembro
#1
ahi va si podéis ayudarme os lo agradeceria

Logfile of HijackThis v1.98.2

Scan saved at 14:45:05, on 22/10/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

c:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\Archivos de programa\USB Storage RW\shwicon.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\ASUS\Remote Control\Remote Master.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

C:\WINDOWS\smss.exe

C:\Archivos de programa\InterVideo\WinDVR\WinScheduler.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\Archivos de programa\Soulseek\slsk.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Propietario\Escritorio\HijackThis.exe

C:\Archivos de programa\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://es7.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-es7.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es7.hpwis.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: 01 bat bait - {67D5C212-32C1-D450-2645-94D01314A563} - C:\ARCHIV~1\BOWSRO~1\Build trust.dll (file missing)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: LoveCast - {C4CCF746-F8EB-6B39-6287-ED6D436FD709} - C:\ARCHIV~1\BOWSRO~1\Build trust.dll (file missing)

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1601.0\es\msntb.dll (file missing)

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Archivos de programa\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [WCOLOREAL] "C:\Archivos de programa\Coloreal\coloreal.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [ccApp] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [remotecontrol] c:\Archivos de programa\ASUS\Remote Control\Remote Master.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [InteliSys] C:\WINDOWS\smss.exe

O4 - HKLM\..\Run: [Itch Peak] C:\ARCHIV~1\Bin Dog Dent\Upcool.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Cn:)slTaskBar] C:\Archivos de programa\Terra ASDL Plus\Cn:)slTb.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [GCS] "C:\Archivos de programa\GrabClipSave\GrabClipSave.exe"

O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Archivos de programa\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1015.dll,InstantAccess

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe

O4 - Global Startup: hp center.lnk = C:\Archivos de programa\hp center\137903\Program\BackWeb-137903.exe

O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Archivos de programa\InterVideo\WinDVR\WinScheduler.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EC..._1015_ES_XP.cab

O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_ES_XP.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab

O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab

O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/Dial...035_pack_XP.cab

O16 - DPF: {B3A5878E-5B4C-4D12-9156-4D7FD8D0AF6C} (Cltbuilder Class) - http://akamai.downloadv3.com/binaries/one2...ne2oneSvcES.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4EEA5898-7916-4D7A-A907-D95DBEB60EA0}: NameServer = 195.235.113.3,195.235.96.90
 
A

Arwing

Guest
#2
Hola. Supongo que tu has instalado el Remote Master de ASUS. Por favor cuando te mencione el smss.exe ten mucho cuidado y fíjate bien en la carpeta, el del malware está en C:\Windows\, el smss.exe original está en C:\Windows\System32\.

Nota importante: Si no conoces algún procedimiento que te recomiendo, por lo general estarán remarcados en negrita (deshabilitar la restauración del sistema, abrir el Regedit, etc.) visita el siguiente post de ayuda:Manual pasos a seguir para el uso HijackThis

Abre el Administrador de Procesos y cierra los siguientes procesos (si es que están ahí):

C:\WINDOWS\smss.exe

Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.

Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):

C:\WINDOWS\smss.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchnow.com/searchbar.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost <-- si no lo has puesto tu

O2 - BHO: 01 bat bait - {67D5C212-32C1-D450-2645-94D01314A563} - C:\ARCHIV~1\BOWSRO~1\Build trust.dll (file missing)

O3 - Toolbar: LoveCast - {C4CCF746-F8EB-6B39-6287-ED6D436FD709} - C:\ARCHIV~1\BOWSRO~1\Build trust.dll (file missing)

O4 - HKLM\..\Run: [InteliSys] C:\WINDOWS\smss.exe

O4 - HKLM\..\Run: [Itch Peak] C:\ARCHIV~1\Bin Dog Dent\Upcool.exe

O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1015.dll,InstantAccess

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EC..._1015_ES_XP.cab

O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_ES_XP.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab

O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/Dial...035_pack_XP.cab

O16 - DPF: {B3A5878E-5B4C-4D12-9156-4D7FD8D0AF6C} (Cltbuilder Class) - http://akamai.downloadv3.com/binaries/one2...ne2oneSvcES.cab

Y da click en el botón "Fix Checked"

Descarga el programa Disk Cleaner y úsalo para borrar todos los archivos temporales de tu computadora.

Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos

Ahora busca los siguientes archivos y carpetas y bórralos:

C:\WINDOWS\smss.exe

C:\ARCHIV~1\BOWSRO~1\

C:\ARCHIV~1\Bin Dog Dent\

p2esocks_1015.dll

Reinicia el sistema y prueba que tal te va ahora.

Saludos

Arwing
 
Estado
Cerrado para nuevas respuestas
Arriba Pie