Autor Tema: Virus por el Folder Lock (SOLUCIONADO)  (Leído 7205 veces)

Desconectado willfriend

  • Junior Member
  • **
  • Mensajes: 30
Virus por el Folder Lock (SOLUCIONADO)
« en: 24 de Julio de 2006, 09:31:57 pm »
Saludos a todos. Posteo aki porke necesito ayuda. El antivirus me detecta un virus justo cuando ejecuto el Folder lock. Es un archivo ke crea en el system32 de windows ke se llama WindrvNT.sys

No se si es algo ke siempre ha pasado y ha sido ahora cuando me lo esta detectando el antivirus, o si simplemente he sido infectado a traves de internet recientemente. Me gustaria saber (paso a paso a ser posible, porke soy un poco torpe, jeje) como puedo eliminar este virus porke por mas ke lo elimino con el antivirus, tal y como arranco el folder lock, vuelve a aparecer.

Muchas gracias por anticipado a todos.

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 14350
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Re: Virus por el Folder Lock
« Respuesta #1 en: 24 de Julio de 2006, 10:06:47 pm »
Hola:
 Bienvenido al foro.
Quizá sea un falso positivo del antivirus, lo he leido en algun otro sitio que tambien panda daba alguna advertencia no obstante, por si acaso, coloca aqui un log del hijackthis y otro del autoruns siguiendo las indicaciones de los siguientes manuales y a ver que te pueden comentar sobre ello.

Log del hijackthis:
http://www.daboweb.com/foros/index.php/topic,13633.0.html

Log del autoruns:
http://www.daboweb.com/foros/index.php/topic,25707.0.html

Un saludo

Desconectado willfriend

  • Junior Member
  • **
  • Mensajes: 30
Re: Virus por el Folder Lock
« Respuesta #2 en: 25 de Julio de 2006, 02:58:16 pm »
Muchas gracias por la bienvenida destroyer.

Espero poder leer el tutorial a lo largo de la tarde y hacerlo para poder poner aki el log. Por cierto, si verdaderamente esta el problema en el folder lock, ¿significa esto ke debo eliminar ese programa para siempre porke cada vez ke lo ejecute se me infectará? ¿ o simplemente he tenido mala suerte al infectarme concretamente en este programa y podre continuar con él, una vez ke se resuelva?

Muchisimas gracias!

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 14350
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Re: Virus por el Folder Lock
« Respuesta #3 en: 25 de Julio de 2006, 03:01:42 pm »

Hola:
 No sabemos si el programa está infectado,  o si es que  tu antivirus lo señala por error, u otro motivo.. es por ello que te comento el tema de esos logs para ver que pueden decirte los compañeros. 

Un saludo

Desconectado willfriend

  • Junior Member
  • **
  • Mensajes: 30
Re: Virus por el Folder Lock
« Respuesta #4 en: 25 de Julio de 2006, 08:23:17 pm »
Aki va el log del Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 20:08:34, on 25/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


Desconectado willfriend

  • Junior Member
  • **
  • Mensajes: 30
Re: Virus por el Folder Lock
« Respuesta #5 en: 25 de Julio de 2006, 08:24:18 pm »
Y aki el Log del Autoruns:

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup         

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup         

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon         

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit         

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run         

+ avast!   avast! service GUI component   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashdisp.exe

+ LVCOMSX   LVCom Server   (Not verified) Logitech Inc.   c:\windows\system32\lvcomsx.exe

+ NeroFilterCheck   NeroCheck   (Not verified) Nero AG   c:\archivos de programa\archivos comunes\ahead\lib\nerocheck.exe

+ nwiz   NVIDIA nView Wizard, Version 110.22    (Not verified) NVIDIA Corporation   c:\windows\system32\nwiz.exe

+ SunJavaUpdateSched   Java(TM) 2 Platform Standard Edition binary   (Not verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.5.0_07\bin\jusched.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce         

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio         

C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio         

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load         

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run         

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run         

HKCU\Software\Microsoft\Windows\CurrentVersion\Run         

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run         

HKLM\SOFTWARE\Classes\Protocols\Filter         

+ application/octet-stream   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ application/x-complus   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ application/x-msdownload   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

HKLM\SOFTWARE\Classes\Protocols\Handler         

+ msnim   MSN Messenger Protocol Handler   (Not verified) Microsoft Corporation   c:\archivos de programa\msn messenger\msgrapp.dll

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components         

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components         

+ n/a   Microsoft .NET IE SECURITY REGISTRATION   (Not verified) Microsoft Corporation   c:\windows\system32\mscories.dll

HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad         

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad         

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks         

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved         

+ AlcoholShellEx   AXShlEx.dll   (Not verified) Alcohol Soft Development Team   c:\archivos de programa\alcohol soft\alcohol 120\axshlex.dll

+ avast   avast! Shell Extension   (Not verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashshell.dll

+ Desktop Explorer   NVIDIA Desktop Explorer, Version 110.22    (Not verified) NVIDIA Corporation   c:\windows\system32\nvshell.dll

+ Desktop Explorer Menu   NVIDIA Desktop Explorer, Version 110.22    (Not verified) NVIDIA Corporation   c:\windows\system32\nvshell.dll

+ Extensión de paneo de pantalla del Panel de control         File not found: deskpan.dll

+ Fusion Cache   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ NeroDigitalIconHandler   Nero Digital Shell Extension   (Not verified) Nero AG   c:\archivos de programa\archivos comunes\ahead\lib\nerodigitalext.dll

+ NeroDigitalPropSheetHandler   Nero Digital Shell Extension   (Not verified) Nero AG   c:\archivos de programa\archivos comunes\ahead\lib\nerodigitalext.dll

+ nView Desktop Context Menu   NVIDIA Desktop Explorer, Version 110.22    (Not verified) NVIDIA Corporation   c:\windows\system32\nvshell.dll

+ Shell Icon Handler for Application References   Application Deployment Support Library   (Not verified) Microsoft Corporation   c:\windows\system32\dfshim.dll

+ ShellLink for Application References   Application Deployment Support Library   (Not verified) Microsoft Corporation   c:\windows\system32\dfshim.dll

+ WinRAR shell extension         c:\archivos de programa\winrar\rarext.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved         

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers         

+ NeroDigitalColumnHandler Class   Nero Digital Shell Extension   (Not verified) Nero AG   c:\archivos de programa\archivos comunes\ahead\lib\nerodigitalext.dll

+ PDF Shell Extension   PDF Shell Extension   (Not verified) Adobe Systems, Inc.   c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects         

+ AcroIEHlprObj Class   Adobe Acrobat IE Helper Version 7.0 for ActiveX   (Verified) Adobe Systems, Incorporated   c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll

+ IeCatch2 Class   jccatch Module   (Not verified) Amaze Soft   c:\archivos de programa\flashget\jccatch.dll

+ SSVHelper Class   Java(TM) 2 Platform Standard Edition binary   (Not verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.5.0_07\bin\ssv.dll

+ {53707962-6F74-2D53-2644-206D7942484F}   Bad download blocker   (Verified) Safer Networking Ltd.   c:\archivos de programa\spybot - search & destroy\sdhelper.dll

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks         

HKLM\Software\Microsoft\Internet Explorer\Toolbar         

+ FlashGet Bar   FlashGet IE Bar   (Not verified) Amaze Soft   c:\archivos de programa\flashget\fgiebar.dll

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars         

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars         

HKCU\Software\Microsoft\Internet Explorer\Extensions         

HKLM\Software\Microsoft\Internet Explorer\Extensions         

+ &FlashGet   FlashGet   (Not verified) Amaze Soft   c:\archivos de programa\flashget\flashget.exe

Task Scheduler         

HKLM\System\CurrentControlSet\Services         

+ aswUpdSv   Brinda actualizaciones automáticas para el antivirus avast!.      c:\archivos de programa\alwil software\avast4\aswupdsv.exe

+ avast! Antivirus   Administra e implementa los servicios de antivirus avast! para este ordenador/computador/PC. Esto incluye protección residente, el baúl de virus y el programador de tareas.      c:\archivos de programa\alwil software\avast4\ashserv.exe

+ StarWindService   Enables network access to local devices via iSCSI protocol.   (Not verified) Rocket Division Software   c:\archivos de programa\alcohol soft\alcohol 120\starwind\starwindservice.exe

HKLM\System\CurrentControlSet\Services         

+ ENTECH      (Not verified) EnTech Taiwan   c:\windows\system32\drivers\entech.sys

+ PxHelp20   Px Engine Device Driver for Windows 2000/XP   (Not verified) Sonic Solutions   c:\windows\system32\drivers\pxhelp20.sys

+ sfdrv01   StarForce Protection Environment Driver   (Not verified) Protection Technology   c:\windows\system32\drivers\sfdrv01.sys

+ sfhlp02   StarForce Protection Helper Driver   (Not verified) Protection Technology   c:\windows\system32\drivers\sfhlp02.sys

+ sfsync02   StarForce Protection Synchronization Driver   (Not verified) Protection Technology   c:\windows\system32\drivers\sfsync02.sys

+ sfvfs02   StarForce Protection VFS Driver   (Not verified) Protection Technology   c:\windows\system32\drivers\sfvfs02.sys

+ Vax347b   Plug and Play BIOS Extension   (Not verified)     c:\windows\system32\drivers\vax347b.sys

+ Vax347s   SCSI miniport   (Not verified)     c:\windows\system32\drivers\vax347s.sys

+ ZD1211BU(ZyDAS)   ZD1211B 802.11 b+g USB LAN Driver   (Not verified) ZyDAS Technology Corporation   c:\windows\system32\drivers\zd1211bu.sys

+ ZDPSp50   PCAUSA NDIS 5.0 SPR Protocol Driver   (Not verified) Printing Communications Assoc., Inc. (PCAUSA)   c:\windows\system32\drivers\zdpsp50.sys

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute         

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options         

HKLM\Software\Microsoft\Command Processor\Autorun         

HKCU\Software\Microsoft\Command Processor\Autorun         

HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls         

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman         

HKCU\Control Panel\Desktop\Scrnsave.exe         

HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName         

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9         

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages         


Desconectado Mr_X

  • Moderador
  • ******
  • Mensajes: 2634
Re: Virus por el Folder Lock
« Respuesta #6 en: 26 de Julio de 2006, 06:05:33 am »
Yo también creo que es un 'falso positivo'... Pues los registros del HijackThis y el Autoruns no muestran nada (muy) 'raro'... Reinicia en Modo seguro, ejecuta el HijackThis, selecciona la opción 'Do a system scan only', marca la siguiente entrada y dale al botón 'Fix checked':

Código: [Seleccionar]
R3 - Default URLSearchHook is missing

Reinicia normal, actualiza el Avast, pásalo reiniciando en MODO SEGURO y saca nuevos Logs...

PS: Sólo unos comentarios: la versión no registrada del FlashGet lleva adware, por lo que te recomiendo que lo registres o lo cambies por otro administrador de descargas... Por otro lado, tienes software anticopia (Starforce), tal vez instalado por algún juego o algún DVD, aunque no es 'nocivo' pero sí 'está de más' ¿tienes alguna idea de qué lo pudo haber instalado?...
"... I'll wait I sow the seed, I set the scene and I watch the world go by..."

Desconectado willfriend

  • Junior Member
  • **
  • Mensajes: 30
Re: Virus por el Folder Lock
« Respuesta #7 en: 26 de Julio de 2006, 05:58:19 pm »
Hola Mr X, ya he hecho todo lo ke me dices y cuelgo aki los nuevos logs generados.

Si finalmente es un falso positivo, ¿podre volver a instalar el Folder Lock?¿Me volvera a dar el aviso el antivirus?.

En cuanto a lo ke me comentas del software anticopia, lo cierto es ke no sabia ke lo tenia. Los juegos ke tengo instalados son: "F.E.A.R.", "Splinter Cell: Chaos Theory", "Need for Speed: Most Wanted" y las demos "knights of the temple 2" y "GTR 2", aunke esta ultima la acabo de instalar asi ke supongo ke la podemos descartar. ¿Ke debo hacer para eliminar ese software anticopia?

Bueno, te paso los logs, vale?. MUCHISIMAS GRACIAS.

Desconectado willfriend

  • Junior Member
  • **
  • Mensajes: 30
Re: Virus por el Folder Lock
« Respuesta #8 en: 26 de Julio de 2006, 05:59:57 pm »
Autoruns:

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup         

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup         

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon         

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit         

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run         

+ avast!   avast! service GUI component   (Verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashdisp.exe

+ LVCOMSX   LVCom Server   (Not verified) Logitech Inc.   c:\windows\system32\lvcomsx.exe

+ NeroFilterCheck   NeroCheck   (Not verified) Nero AG   c:\archivos de programa\archivos comunes\ahead\lib\nerocheck.exe

+ nwiz   NVIDIA nView Wizard, Version 110.22    (Not verified) NVIDIA Corporation   c:\windows\system32\nwiz.exe

+ SunJavaUpdateSched   Java(TM) 2 Platform Standard Edition binary   (Not verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.5.0_07\bin\jusched.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce         

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio         

C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio         

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load         

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run         

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run         

HKCU\Software\Microsoft\Windows\CurrentVersion\Run         

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run         

HKLM\SOFTWARE\Classes\Protocols\Filter         

+ application/octet-stream   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ application/x-complus   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ application/x-msdownload   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

HKLM\SOFTWARE\Classes\Protocols\Handler         

+ msnim   MSN Messenger Protocol Handler   (Not verified) Microsoft Corporation   c:\archivos de programa\msn messenger\msgrapp.dll

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components         

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components         

+ n/a   Microsoft .NET IE SECURITY REGISTRATION   (Not verified) Microsoft Corporation   c:\windows\system32\mscories.dll

HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad         

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad         

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks         

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved         

+ AlcoholShellEx   AXShlEx.dll   (Not verified) Alcohol Soft Development Team   c:\archivos de programa\alcohol soft\alcohol 120\axshlex.dll

+ avast   avast! Shell Extension   (Not verified) ALWIL Software   c:\archivos de programa\alwil software\avast4\ashshell.dll

+ Desktop Explorer   NVIDIA Desktop Explorer, Version 110.22    (Not verified) NVIDIA Corporation   c:\windows\system32\nvshell.dll

+ Desktop Explorer Menu   NVIDIA Desktop Explorer, Version 110.22    (Not verified) NVIDIA Corporation   c:\windows\system32\nvshell.dll

+ Extensión de paneo de pantalla del Panel de control         File not found: deskpan.dll

+ Fusion Cache   Microsoft .NET Runtime Execution Engine   (Not verified) Microsoft Corporation   c:\windows\system32\mscoree.dll

+ NeroDigitalIconHandler   Nero Digital Shell Extension   (Not verified) Nero AG   c:\archivos de programa\archivos comunes\ahead\lib\nerodigitalext.dll

+ NeroDigitalPropSheetHandler   Nero Digital Shell Extension   (Not verified) Nero AG   c:\archivos de programa\archivos comunes\ahead\lib\nerodigitalext.dll

+ nView Desktop Context Menu   NVIDIA Desktop Explorer, Version 110.22    (Not verified) NVIDIA Corporation   c:\windows\system32\nvshell.dll

+ Shell Icon Handler for Application References   Application Deployment Support Library   (Not verified) Microsoft Corporation   c:\windows\system32\dfshim.dll

+ ShellLink for Application References   Application Deployment Support Library   (Not verified) Microsoft Corporation   c:\windows\system32\dfshim.dll

+ WinRAR shell extension         c:\archivos de programa\winrar\rarext.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved         

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers         

+ NeroDigitalColumnHandler Class   Nero Digital Shell Extension   (Not verified) Nero AG   c:\archivos de programa\archivos comunes\ahead\lib\nerodigitalext.dll

+ PDF Shell Extension   PDF Shell Extension   (Not verified) Adobe Systems, Inc.   c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects         

+ AcroIEHlprObj Class   Adobe Acrobat IE Helper Version 7.0 for ActiveX   (Verified) Adobe Systems, Incorporated   c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll

+ IeCatch2 Class   jccatch Module   (Not verified) Amaze Soft   c:\archivos de programa\flashget\jccatch.dll

+ SSVHelper Class   Java(TM) 2 Platform Standard Edition binary   (Not verified) Sun Microsystems, Inc.   c:\archivos de programa\java\jre1.5.0_07\bin\ssv.dll

+ {53707962-6F74-2D53-2644-206D7942484F}   Bad download blocker   (Verified) Safer Networking Ltd.   c:\archivos de programa\spybot - search & destroy\sdhelper.dll

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks         

HKLM\Software\Microsoft\Internet Explorer\Toolbar         

+ FlashGet Bar   FlashGet IE Bar   (Not verified) Amaze Soft   c:\archivos de programa\flashget\fgiebar.dll

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars         

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars         

HKCU\Software\Microsoft\Internet Explorer\Extensions         

HKLM\Software\Microsoft\Internet Explorer\Extensions         

+ &FlashGet   FlashGet   (Not verified) Amaze Soft   c:\archivos de programa\flashget\flashget.exe

Task Scheduler         

HKLM\System\CurrentControlSet\Services         

+ aswUpdSv   Brinda actualizaciones automáticas para el antivirus avast!.      c:\archivos de programa\alwil software\avast4\aswupdsv.exe

+ avast! Antivirus   Administra e implementa los servicios de antivirus avast! para este ordenador/computador/PC. Esto incluye protección residente, el baúl de virus y el programador de tareas.      c:\archivos de programa\alwil software\avast4\ashserv.exe

+ StarWindService   Enables network access to local devices via iSCSI protocol.   (Not verified) Rocket Division Software   c:\archivos de programa\alcohol soft\alcohol 120\starwind\starwindservice.exe

HKLM\System\CurrentControlSet\Services         

+ ENTECH      (Not verified) EnTech Taiwan   c:\windows\system32\drivers\entech.sys

+ PxHelp20   Px Engine Device Driver for Windows 2000/XP   (Not verified) Sonic Solutions   c:\windows\system32\drivers\pxhelp20.sys

+ sfdrv01   StarForce Protection Environment Driver   (Not verified) Protection Technology   c:\windows\system32\drivers\sfdrv01.sys

+ sfhlp02   StarForce Protection Helper Driver   (Not verified) Protection Technology   c:\windows\system32\drivers\sfhlp02.sys

+ sfsync02   StarForce Protection Synchronization Driver   (Not verified) Protection Technology   c:\windows\system32\drivers\sfsync02.sys

+ sfvfs02   StarForce Protection VFS Driver   (Not verified) Protection Technology   c:\windows\system32\drivers\sfvfs02.sys

+ Vax347b   Plug and Play BIOS Extension   (Not verified)     c:\windows\system32\drivers\vax347b.sys

+ Vax347s   SCSI miniport   (Not verified)     c:\windows\system32\drivers\vax347s.sys

+ ZD1211BU(ZyDAS)   ZD1211B 802.11 b+g USB LAN Driver   (Not verified) ZyDAS Technology Corporation   c:\windows\system32\drivers\zd1211bu.sys

+ ZDPSp50   PCAUSA NDIS 5.0 SPR Protocol Driver   (Not verified) Printing Communications Assoc., Inc. (PCAUSA)   c:\windows\system32\drivers\zdpsp50.sys

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute         

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options         

HKLM\Software\Microsoft\Command Processor\Autorun         

HKCU\Software\Microsoft\Command Processor\Autorun         

HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls         

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman         

HKCU\Control Panel\Desktop\Scrnsave.exe         

HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName         

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9         

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages         

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages         


Desconectado willfriend

  • Junior Member
  • **
  • Mensajes: 30
Re: Virus por el Folder Lock
« Respuesta #9 en: 26 de Julio de 2006, 06:00:54 pm »
Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:46:47, on 26/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\npjpi150_07.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License