todos los problemas juntos

Estado
Cerrado para nuevas respuestas

beatriz

Nuevo Miembro
Miembro
#1
hola, acabo de conocer este foro y viendolo detenidamente cre que aquí podrian ayudarme en mis multiples problemas .

desde hace 20 días creo que tengo algún virus o intruso en mi pc. los sintomas normales han variado en varios aspectos que resumo:( perdon por omitir datos tecnicos pero no los controlo)

-- internet lentisimo ( tengo moden 56), pero mucho mas lento que lo habitual

-- numero de bytes recibidos ( creo que altisimo,) cada vez que me conecto.

-- el administrador de tareas no se me ejecuta

-- el editor de registro de sistema tampoco se ejecuta

-- aparece una ventana ( cuando me conecto) que comienza una cuenta atras de 1 minuto y se reinicia solo el sistema.

-- panda antivirus no hace mas que desinfectarme virus que entran, (pero ya no se si se desinfecta o solo los detecta ):

w32/gaobot.xr.worm

w32/korgo.r.worm

w32/korgo.z.worm

w32/korgo.t.worm

w32/spybot.jx.bot

dialer.bm

el caso es que vuelvo a pasar el antivirus y dice que no encuentra ningún virus. pero como vereis todos estos fallos llegaron juntos y creo que me están desestabilizando el sistema.

Os pediria que me explicarais que puedo hacer ( a ser posible sin muchos terminos tecnicos ) para poder restaurar todo o limpiarlo.

Por otro lado creo que la salida de tantos bytes al conectarme es que puede que estén utilizando mi pc para conectarse o trasmitir archivos o la utilizacion de los puertos.( si alguien pudiera explicarme esto lo agradezco)

bueno muchas gracias de antemano y un saludo.
 

alnitak

Ex-Admin
Miembro
#2
Por favor, bájate el HijackThis 1.98.2 crea una nueva carpeta que sea solo para el y salvalo en ella, ejecutalo, haz clic sobre el boton Scan, después clic sobre save log, salva el log y postealo aquí completo.

Sin ver el log no podemos decirte como arreglar tu sistema puesto que no tenemos mucha idea de lo que tiene, en cuanto postees el log veremos las cosas mas claramente y trataremos de ayudarte
 

beatriz

Nuevo Miembro
Miembro
#3
hola, ante todo gracias por responder tan pronto. ahi te va lo que me pides( creo que lo he hecho como decias):

Logfile of HijackThis v1.98.2

Scan saved at 22:56:43, on 05/10/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\rundll32.exe

C:\KMaestro\Key_s.EXE

C:\KMaestro\WTS_KEY.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Xoán\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [WinLogin] win32x.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\eurokazaa\local.htm (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BA94444B-146C-459F-B55D-3A5006EBA76B}: NameServer = 62.81.0.34 62.81.16.130

por favor explicame clarito lo que puedo hacer, te recuerdo que no me funcionaba ni el administrador de tareas ni el registro del sistema.muchas gracias
 

alnitak

Ex-Admin
Miembro
#4
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola,

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [WinLogin] win32x.exe

O4 - HKCU\..\Run: [Updater] C:\Archivos de programa\Carpe Diem\egays\CDUpdater.exe CD_UPDATER

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Startup: PowerReg Scheduler.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\eurokazaa\local.htm (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

Reinicia otra vez en modo seguro

Abre el bloc de notas y copia en el lo siguiente:

Insertar CODE, HTML o PHP:
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=-

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Policies\System]

"DisableRegistryTools"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\winoldapp]

"Norealmode"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoFolderOptions"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=-
Salva ese archivo como Beatriz.reg y repicalo

Ahora intenta entrar al administrador de tareas: <Ctrl>+<Alt>+<Supr> y termina el siguiente proceso si todavía existe:

win32x.exe

Ejecuta el HijackThis y repite los pasos anteriores con cualquiera de esas entradas que te he mandado a remover si todavía existen

Elimina estos archivos si existen:

win32x.exe

Elimina estas carpetas y todo su contenido

C:\Archivos de programa\Carpe Diem\

Reinicia normalmente y reactiva la opción de restaurar el sistema.

Instala la ultima versión de Ad Aware, actualízalo y escanéate para que termine de limpiar.

Actualiza tu sistema a través del Windows Update

Posiblemente instala un firewall

Postea otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

beatriz

Nuevo Miembro
Miembro
#5
holaaa, creo que vamos progresando--el administrador de tareas ya funciona ( aunque creo que sigue teniendo demasiados procesos abiertos)-eres un encanto , sobre todo por tu rapidez en las respuestas--te envio el ultimo log , después de haber restaurado el sistema. ( o era antes de restaurarlo), y haber hecho ,creo que bien , lo que me pediste-((( el archivo win32x.exe no lo encontre, y la carpeta Carpe Dien tampoco, por lo que no pude eliminarlas)-

Logfile of HijackThis v1.98.2

Scan saved at 1:17:07, on 06/10/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\rundll32.exe

C:\KMaestro\Key_s.EXE

C:\KMaestro\WTS_KEY.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

C:\Documents and Settings\Xoán\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

por cierto a que te refieres con un firewall, donde y cual me recomiendas?

gracias de nuevo y contestame por favor
 
A

Arwing

Guest
#6
Pues ya parece estar todo bien. Todos los procesos parecen normales.

Firewall o Cortafuegos, sirven para controlar el tráfico de información de tu PC a Internet y viceversa. Más arriba en la sección de post pegados encontrarás información acerca del Outpost Firewall y cómo configurarlo.

Arwing
 

alnitak

Ex-Admin
Miembro
#7
Todos los procesos son legales, si ya puedes entrar al administrador de tareas y al editor de registro tu sistema debería estar listo.

Si quieres desactivar algún proceso desde el inicio del sistema hazlo a través de la pestaña inicio del msconfig:

Inicio >> ejecutar >> escribes msconfig y aceptas >> pestaña inicio >> desmarca las casillas de los procesos que consideres superfluos >> acepta los cambios y reinicia.

Un excelente firewall es Outpost, existe una versión gratis y puedes encontrar un tutorial de uso aquí: Software indispensable para tener tu Windows a punto: Outpost Firewall
 

beatriz

Nuevo Miembro
Miembro
#8
hola--muchisimas gracias a todos por las soluciones, creo que va ya todo bien.solo tengo una duda, la cantidad de bytes recibidas creo que sigue siendo alta, mi pregunta es ¿¿¿ podría tener algún virus a la escucha del puerto o algo asi, que desviara mis conexiones)-podria hacer algo al respecto con el administrador del registro del sistema que ahora ya funcona.?

muchas gracias a todos :confused:
 

alnitak

Ex-Admin
Miembro
#9
Es normal que recibas muchos mas bytes de los que envias, toma en cuenta que cada vez que abres una pagina web estas recibiendo texto, imagenes, animaciones, etc. que representan una cantidad en entrada muy superior a la enviada.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie