Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: buforn en 04 de Diciembre de 2006, 11:51:38 pm
-
He encontrado en C:\JAMER\system32 regperf.exe y ld100.TMP creo que cuando se ejecuta regperf.exe se genera el otro ficherito ninguno puedo eliminar, aunque sí es cierto ya se ha realizado esta pregunta , la respuesta va en relación a un log que hay que pegar, por favor decidme ¿cómo actuar? y en una respuesta que dais os referis a erunt, realmente si lo tengo finalmente que usar tiene que ver con un limpiador de registro, entiendo que hace un backup, tengo instalado JAMERxp professional sp2 en pentium4. Saludos
-
Hola:
Bienvenido al foro.
El erunt es para hacer una copia de seguridad del registro, por si al limpiar con el Hijackthis u otro programa de limpieza del registro se perdiera algun dato de valor, pero él no limpia el registro.
Manual Erunt:
http://www.destroyerweb.com/manuales/erunt-copia-registro/erunt-copia-registro-windows.htm
Pega un log del Hjackthis a ver que pueden comentarte los compañeros
Manual del Hijackthis:
http://www.daboweb.com/foros/index.php/topic,13633.0.html
Un saludo
-
Hola, muchísimas gracias por vuestra claridad, os pego el log:
Logfile of HijackThis v1.99.1
Scan saved at 15:01:41, on 07/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp100.tmp (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [B'sCLiP] C:\ARCHIV~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Archivos de programa\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [AttuneClientEngine] C:\ARCHIV~1\Aveo\Attune\bin\attune_ce.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://..officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) -
https://...officescan/console/ClientInstall/setup.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://...officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129816593718
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EBD009F-D1F7-46F9-98A9-B651ABF1878F}: NameServer = 85.255.113.118,85.255.112.101
O17 - HKLM\System\CS1\Services\Tcpip\..\{9EBD009F-D1F7-46F9-98A9-B651ABF1878F}: NameServer = 85.255.113.118,85.255.112.101
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe
Saludos
-
Actualiza tu sistema, Aqui (http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=es)
Pasale el AVG-AntiSpware (http://www.daboweb.com/foros/index.php/topic,26738.0.html). (Actualizalo y guarda el report despues de darle a eliminar infecciones)
Y esta aplicacion tambien, esta al final de la pagina (No necesita instalacion, dale si a todo)
ElistarA (http://www.zonavirus.com/datos/descargas/78/EliStarA.asp)
Borra todas las cookies y el registro con CCleaner (http://www.daboweb.com/index.php?option=com_content&task=view&id=598&Itemid=149):
Vete a Panel de Control--> Java y elimina todos los archivos temporales. (Si utilizas JAVA)
Pega un nuevo Log del Hijackthis, el Report del AVG-AntiSpware y ElistarA (Que estara en C: Infosat).
Un Saludo
-
Muchas gracias por contestarme y ayudarme pero ya lo tengo actualizado, he borrado temporales de internet y tengo antivirus que detecta los troyanos..no habría una solución más rápida es que si tengo que pasar un limpiador de registro, cómo se lo que tengo que borrar de lo,que no??
-
Donde pone CCleaner enlaza a un manual, si te fijas te darás cuenta de que las letras son de color azul claro y si pones el cursor encima podrás pinchar y acceder a ese manual, ahí explican como funciona el programa.
-
De acuerdo seguiré todos vuestros pasos.
-
Hola
Con elistar qué hay que hacer, ejecutar sin más...???????
Saludos
-
Lo ejecutas, le das sí a todo y luego cuando termines pegas el report que está en la ruta que indica 171278 :)
-
Hola
He seguido todos los pasos que me indicasteis a continuación os pego el report del AVG-AntiSpware, luego el de ElistarA y finalmente el log del Hijackthis.
Saludos y muchas gracias.
1-
A V G A n t i - S p y w a r e - I n f o r m e d e l a n á l i s i s
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
+ C r e a d o e n : 2 0 : 2 0 : 1 0 1 3 / 1 2 / 2 0 0 6
+ R e s u l t a d o d e l a n á l i s i s :
H K L M \ S O F T W A R E \ C l a s s e s \ E M e d i a C o d e c . C h l - > A d w a r e . G e n e r i c : N o s e r e a l i z ó n i n g u n a a c c i ó n .
H K L M \ S O F T W A R E \ C l a s s e s \ E M e d i a C o d e c . C h l \ C L S I D - > A d w a r e . G e n e r i c : N o s e r e a l i z ó n i n g u n a a c c i ó n .
H K U \ S - 1 - 5 - 2 1 - 1 2 7 5 2 1 0 0 7 1 - 1 6 4 7 8 7 7 1 4 9 - 7 2 5 3 4 5 5 4 3 - 1 0 0 3 \ S o f t w a r e \ C l a s s e s \ C L S I D \ { 6 2 e b 0 9 2 4 - 1 9 d 2 - 4 2 2 6 - b 4 b 9 - 8 a d 1 f 7 0 9 0 4 c 1 } - > A d w a r e . G e n e r i c : N o s e r e a l i z ó n i n g u n a a c c i ó n .
H K U \ S - 1 - 5 - 2 1 - 1 2 7 5 2 1 0 0 7 1 - 1 6 4 7 8 7 7 1 4 9 - 7 2 5 3 4 5 5 4 3 - 1 0 0 3 _ C l a s s e s \ C L S I D \ { 6 2 e b 0 9 2 4 - 1 9 d 2 - 4 2 2 6 - b 4 b 9 - 8 a d 1 f 7 0 9 0 4 c 1 } - > A d w a r e . G e n e r i c : N o s e r e a l i z ó n i n g u n a a c c i ó n .
C : \ P r o g r a m F i l e s \ P e s t T r a p \ b a s e . a v d - > A d w a r e . P e s t t r a p : N o s e r e a l i z ó n i n g u n a a c c i ó n .
C : \ P r o g r a m F i l e s \ P e s t T r a p \ b a s e 0 0 1 . a v d - > A d w a r e . P e s t t r a p : N o s e r e a l i z ó n i n g u n a a c c i ó n .
H K L M \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ U n i n s t a l l \ P e s t T r a p - > A d w a r e . P e s t t r a p : N o s e r e a l i z ó n i n g u n a a c c i ó n .
H K U \ S - 1 - 5 - 2 1 - 1 2 7 5 2 1 0 0 7 1 - 1 6 4 7 8 7 7 1 4 9 - 7 2 5 3 4 5 5 4 3 - 1 0 0 3 \ S o f t w a r e \ P e s t T r a p - > A d w a r e . P e s t t r a p : N o s e r e a l i z ó n i n g u n a a c c i ó n .
[ 8 1 6 ] C : \ W I N D O W S \ s y s t e m 3 2 \ l d 1 0 0 . t m p - > D o w n l o a d e r . Z l o b . w o : N o s e r e a l i z ó n i n g u n a a c c i ó n .
C : \ W I N D O W S \ s y s t e m 3 2 \ 1 0 2 4 - > T r o j a n . S m a l l : N o s e r e a l i z ó n i n g u n a a c c i ó n .
: : F i n d e l i n f o r m e
2-
Wed Dec 13 20:23:31 2006
EliStartPage v12.89 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\REGPERF.EXE --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).
Eliminada Class, "{647B8364-79E0-48E2-A4CA-233ABADA0C2D}" -> C:\Archivos de programa\Error Safe Free\ESSPChck.dll
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: ..............,..............
Eliminada Carpeta "%WinSys%\1024"
Eliminada Carpeta "%Archivos de Programa%\Error Safe Free"
Eliminada Carpeta "\Program Files\PestTrap"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed Dec 13 20:26:29 2006
EliStartPage v12.89 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Acceso Denegado.
C:\WINDOWS\SYSTEM32\REGPERF.EXE --> Acceso Denegado.
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: ..............,..............
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Wed Dec 13 20:30:15 2006
EliStartPage v12.89 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\AliveColors FreeWare\ALIVECOLORS FREEWARE.EXE --> Eliminado, Spy.Delf (BHO)
C:\Archivos de programa\ZipCodec\UNINST.EXE --> Eliminado, XPassMngr (dropper)
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.388_390_TO_5.0.391.EXE --> AutoExtraible
C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.388_TO_5.0.390.EXE --> AutoExtraible
3-
Logfile of HijackThis v1.99.1
Scan saved at 20:55:45, on 13/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.---.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [B'sCLiP] C:\ARCHIV~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Archivos de programa\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [AttuneClientEngine] C:\ARCHIV~1\Aveo\Attune\bin\attune_ce.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Jose\Escritorio\ELISTARA.23122006.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://--/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://../officescan/console/ClientInstall/setup.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://--/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129816593718
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EBD009F-D1F7-46F9-98A9-B651ABF1878F}: NameServer = 85.255.113.118,85.255.112.101
O17 - HKLM\System\CS1\Services\Tcpip\..\{9EBD009F-D1F7-46F9-98A9-B651ABF1878F}: NameServer = 85.255.113.118,85.255.112.101
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe
-
Cuando acaba el escaneo del AVG, elije la opcion eliminar o cuarentena y despues guarda el report (En el que pegaste no eliminas nada)
Descargate LSPFix (No lo ejecutes)
http://cexx.org/LSPFix.exe
Desactiva la opcion de Restaurar sistema (http://www.windowsfacil.com/manuales1/desactivar-restaurar-sistema/desactivar-restaurar-sistema.htm)
Asegura que tu sistema Muestre los Archivos y Carpetas ocultos (http://www.windowsfacil.com/manuales/archivos-ocultos/archivos-ocultos.htm)
Reinicia en Modo Seguro (http://www.windowsfacil.com/manuales/modo-seguro/modo-seguro.htm) (Desconectate fisicamente de internet)
Ejecuta el HijackThis y da click en el boton "Do a system scan only"
Selecciona las casillas de las siguientes entradas y presiona el boton "Fix Checked":
O4 - HKLM\..\Run: [AttuneClientEngine] C:\ARCHIV~1\Aveo\Attune\bin\attune_ce.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EBD009F-D1F7-46F9-98A9-B651ABF1878F}: NameServer = 85.255.113.118,85.255.112.101
O17 - HKLM\System\CS1\Services\Tcpip\..\{9EBD009F-D1F7-46F9-98A9-B651ABF1878F}: NameServer = 85.255.113.118,85.255.112.101
Cierra el hijackthis, busca estos archivos o carpetas y eliminalos:
C:\ARCHIV~1\Aveo
Acontinuacion, lanza AVG (Guarda el report)
Reinicia y activa restaurar el sistema, si no tuvieras conexion lanza LSPFix, lo lanzas y cliqueas solo Finish (nada más )
Si continuaras sin conexion, te vas a:
Inicio-> Panel de Control-> Conexiones de red-> Clic derecho a tu conexión-> Propiedades-> Protocolo Internet (TCP/IP)-> Propiedades
Una vez ahí deberás saber si la dirección del servidor DNS la obtienes automáticamente o manualmente (esto depende de tu proveedor).
Si la obtienes automáticamente, simplemente deberás marcar "Obtener la dirección del servidor DNS automáticamente"
En caso de que sea manual, deberás marcar "Usar las siguientes direcciones del servidor DNS" y ahí deberás poner las DNS de tu proveedor.
Si no lo solucionas ejecuta este programa:
WinSock XP Fix 1.2
http://www.majorgeeks.com/download4372.html
Pega el report del AVG y un nuevo log.
Un Saludo
-
Hola muchas gracias por el interés tomado, tengo dudas:
1- ¿Qué significa Fix checked?
2- Cuando pasé el AVG Spyware, me salían unos troyanos y programs espía y al lado cuarentena o eliminar, no hacía nada cuando me posicionaba sobre las acciones y por eso me posicioné sobre realizar todas las actuaciones, creyendo que sería el equivalente a eliminar, bueno volveré y si no encuentro la opción eliminar os lo preguntaré.
3- Con obtener dirección del servidor DNS automático o manual te refieres a la dirección IP de mi equipo
-
1- ¿Qué significa Fix checked?
Significa Eliminar y te lo pone en el programa.
2- Cuando pasé el AVG Spyware, me salían unos troyanos y programs espía y al lado cuarentena o eliminar, no hacía nada cuando me posicionaba sobre las acciones y por eso me posicioné sobre realizar todas las actuaciones, creyendo que sería el equivalente a eliminar, bueno volveré y si no encuentro la opción eliminar os lo preguntaré.
OK
3- Con obtener dirección del servidor DNS automático o manual te refieres a la dirección IP de mi equipo
Si y no, la DNS tiene realicion con la IP, pero es el servidor de tu proveedor de Red.
Tal y como te lo explique no deberias tener problemas, ademas esa opcion la vas a ver tildada o no y asi sabras que tienes.
Un Saludo
-
1ª report del AVG:
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------
+ Creado en: 18:40:08 18/12/2006
+ Resultado del análisis:
C:\Documents and Settings\..\Cookies\[email protected][1].txt -> TrackingCookie.2o7 : Limpios.
C:\Documents and Settings\..\Cookies\..@atdmt[2].txt -> TrackingCookie.Atdmt : Limpios.
C:\Documents and Settings\..\Cookies\..@doubleclick[1].txt -> TrackingCookie.Doubleclick : Limpios.
C:\Documents and Settings\..\Cookies\..@fastclick[2].txt -> TrackingCookie.Fastclick : Limpios.
C:\Documents and Settings\..\Cookies\[email protected][1].txt -> TrackingCookie.Fastclick : Limpios.
C:\Documents and Settings\..\Cookies\..@findwhat[1].txt -> TrackingCookie.Findwhat : Limpios.
C:\Documents and Settings\..\Cookies\..@goclick[2].txt -> TrackingCookie.Goclick : Limpios.
C:\Documents and Settings\..\Cookies\..@mediaplex[1].txt -> TrackingCookie.Mediaplex : Limpios.
C:\Documents and Settings\..\Cookies\..@questionmarket[1].txt -> TrackingCookie.Questionmarket : Limpios.
C:\Documents and Settings\..\Cookies\[email protected][1].txt -> TrackingCookie.Reliablestats : Limpios.
C:\Documents and Settings\..\Cookies\[email protected][2].txt -> TrackingCookie.Ru4 : Limpios.
C:\Documents and Settings\..\Cookies\[email protected][1].txt -> TrackingCookie.Serving-sys : Limpios.
C:\Documents and Settings\..\Cookies\..@serving-sys[2].txt -> TrackingCookie.Serving-sys : Limpios.
C:\Documents and Settings\..\Cookies\[email protected][1].txt -> TrackingCookie.Yieldmanager : Limpios.
::Fin del informe
2ª report del AVG una vez eliminados los archivos y carpetas indicadas:
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------
+ Creado en: 20:00:04 18/12/2006
+ Resultado del análisis:
C:\Muestras\REGPERF.EXE.Muestra EliStartPage v12.89 -> Downloader.Zlob.wo : No se realizó ninguna acción.
C:\WINDOWS\system32\ld100.tmp -> Downloader.Zlob.wo : No se realizó ninguna acción.
::Fin del informe
3º un nuevo log y he sacado un report del AVG, a lo mejor no es lo que quereis??:
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------
+ Creado en: 20:00:04 18/12/2006
+ Resultado del análisis:
C:\Muestras\REGPERF.EXE.Muestra EliStartPage v12.89 -> Downloader.Zlob.wo : No se realizó ninguna acción.
C:\WINDOWS\system32\ld100.tmp -> Downloader.Zlob.wo : No se realizó ninguna acción.
::Fin del informe
-
En los reports del AVG no eliminas nada y no pegaste el log de HijackThis.
Un Saludo
-
Hola:
Una vez más gracias por vuestra atención y ayuda:
1º-Report del AVG:
---------------------------------------------------------
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------
+ Creado en: 20:45:39 20/12/2006
+ Resultado del análisis:
C:\Muestras\REGPERF.EXE.Muestra EliStartPage v12.89 -> Downloader.Zlob.wo : Limpios.
C:\WINDOWS\system32\ld100.tmp -> Downloader.Zlob.wo : Limpios.
::Fin del informe
2º log del HijackThis-Escaneo
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [B'sCLiP] C:\ARCHIV~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Archivos de programa\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://--.--.--.--/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://--.--.--.--/officescan/console/ClientInstall/setup.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://-.-.-.--/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129816593718
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EBD009F-D1F7-46F9-98A9-B651ABF1878F}: NameServer = ---.---.-.-,-.--.-.-
O17 - HKLM\System\CS1\Services\Tcpip\..\{9EBD009F-D1F7-46F9-98A9-B651ABF1878F}: NameServer = -.-.-.-,-.-.--.--
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe
Saludos y Felices fiestas.
-
Tu log esta limpio,comenta como funciona ahora.
Un Saludo :-d
-
Hola
Muchas gracias, funciona muy bien y no se ha vuelto a detectar el troyano.
Muchísimas gracias
Saludos, FELIZ AÑO
SOLUCIONADO
-
Gracias por comentarlo, damos el tema por solucionado