Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: achelon en 09 de Octubre de 2008, 11:37:47 am
-
Ayer por la tarde al ir a instalar un programita que me bajé con la mula noté algo extraño e inmediatamente intenté escanearlo con el nod32 pero ya no podía...decía que no se comunicaba con el kernel...a partir de ahí imposible instalar ningun antivirus, el activescan me dice que tengo el Trj/KillAv.FJ y que desinfectarlo es de pago...otros antivirus online no detectan nada, pero esto no furrula. El ordenador va muy lento y he notado que en ocasiones cuando ejecuto el msconfig y ve olor processos se está ejecutando un 92125.exe o 102493.exe...u otro número distinto.
Os copio el log creado por el autoruns a ver si alguien me puede echar una mano...que me veo formateando....
Saludos
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ ATICCC CLI Application (Command Line Interface) (Not verified) ATI Technologies Inc. c:\archivos de programa\ati technologies\ati.ace\cli.exe
+ ATIPTA ATI Desktop Control Panel (Not verified) ATI Technologies, Inc. c:\archivos de programa\ati technologies\ati control panel\atiptaxx.exe
+ VMSnap3 ZSMCSNAP (Not verified) ZSMCSNAP c:\windows\vmsnap3.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
C:\Documents and Settings\Paco i Reme\Menú Inicio\Programas\Inicio
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
+ SpyBrowser File not found: C:\Archivos de programa\SpyBro\SpyBro.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
+ skype4com Skype for COM API (Verified) Skype Technologies SA c:\archivos de programa\archivos comunes\skype\skype4com.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
+ Cover Designer Cover Designer (Not verified) Nero AG c:\archivos de programa\nero\nero 7\nero coverdesigner\coveredextension.dll
+ TuneUp Shredder Shell Extension TuneUp Shredder Shell Extension (Verified) TuneUp Software GmbH c:\archivos de programa\tuneup utilities 2008\sdshelex-win32.dll
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\Directory\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
+ TuneUp Shredder Shell Extension TuneUp Shredder Shell Extension (Verified) TuneUp Software GmbH c:\archivos de programa\tuneup utilities 2008\sdshelex-win32.dll
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\Directory\Shellex\DragDropHandlers
HKLM\Software\Classes\Directory\Shellex\DragDropHandlers
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\Directory\Shellex\PropertySheetHandlers
HKLM\Software\Classes\Directory\Shellex\PropertySheetHandlers
HKCU\Software\Classes\Directory\Shellex\CopyHookHandlers
HKLM\Software\Classes\Directory\Shellex\CopyHookHandlers
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\archivos de programa\archivos comunes\adobe\acrobat\activex\pdfshell.dll
HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
+ ACE ACE Context Menu c:\archivos de programa\ati technologies\ati.ace\atiacmxx.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKCU\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Ctf\LangBarAddin
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ Catalyst Context Menu extension ACE Context Menu c:\archivos de programa\ati technologies\ati.ace\atiacmxx.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Aplicación auxiliar de vínculos de Adobe PDF Reader Adobe PDF Helper for Internet Explorer (Verified) Adobe Systems, Incorporated c:\archivos de programa\archivos comunes\adobe\acrobat\activex\acroiehelper.dll
+ FGCatchUrl Flashget CatchUrl Module (Not verified) www.flashget.com c:\archivos de programa\flashget\jccatch.dll
+ FlashGet GetFlash Class Flashget GetFlash Module (Not verified) www.flashget.com c:\archivos de programa\flashget\getflash.dll
+ SSVHelper Class Java(TM) Platform SE binary (Verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre1.6.0_07\bin\ssv.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
+ Mantenimiento con 1 clic.job TuneUp OneClick Starter (Verified) TuneUp Software GmbH c:\archivos de programa\tuneup utilities 2008\oneclickstarter.exe
HKLM\System\CurrentControlSet\Services
+ ATI Smart ATI Smart c:\windows\system32\ati2sgag.exe
+ Bonjour Service Permite que los dispositivos de hardware y los servicios de software se configuren automáticamente en la red y anuncien su presencia, de modo que los usuarios puedan detectar y utilizar dichos servicios sin necesidad de administración o configuración manual. (Not verified) Apple Inc. c:\archivos de programa\bonjour\mdnsresponder.exe
+ MDM Admite depuración local y remota para depuradores de secuencia de comandos de Visual Studio. Si este servicio se detiene, los depuradores no funcionarán adecuadamente. (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\vs7debug\mdm.exe
+ UxTuneUp Permite la utilización de estilo visual sin la firma de Microsoft. (Verified) TuneUp Software GmbH c:\windows\system32\uxtuneup.dll
HKLM\System\CurrentControlSet\Services
+ Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys
+ i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys
+ IKFileSec File Security Device Driver (Verified) PC Tools c:\windows\system32\drivers\ikfilesec.sys
+ IKSysFlt System Filter Device Driver (Verified) PC Tools c:\windows\system32\drivers\iksysflt.sys
+ lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys
+ pavboot Panda Boot Driver (Verified) Panda Security S.L c:\windows\system32\drivers\pavboot.sys
+ PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys
+ PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys
+ PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys
+ PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys
+ PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys
+ PxHelp20 Px Engine Device Driver for Windows 2000/XP (Verified) Sonic Solutions c:\windows\system32\drivers\pxhelp20.sys
+ SDTHOOK Panda Anti-Malware support driver (sdthook) (Not verified) Panda Software c:\windows\system32\drivers\sdthook.sys
+ StarOpen c:\windows\system32\drivers\staropen.sys
+ vmfilter303 Filter for VM303 with Face Tracking, no photoframe (Not verified) Vimicro Corporation c:\windows\system32\drivers\vmfilter303.sys
+ WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys
+ ZSMC303 Video streaming and Capture Device Driver (Not verified) Vimicro Corporation c:\windows\system32\drivers\usbvm303.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
+ autocheck autochk * Programa de comprobación automática (Not verified) Microsoft Corporation c:\windows\system32\autochk.exe
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
+ advapi32 API base de Windows 32 avanzado (Not verified) Microsoft Corporation c:\windows\system32\advapi32.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
+ logonui.exe Interfaz de usuario de inicio d sesión de Windows (Not verified) Microsoft Corporation c:\windows\system32\logonui.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImagePath
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
+ mdnsNSP Bonjour Namespace Provider (Not verified) Apple Inc. c:\archivos de programa\bonjour\mdnsnsp.dll
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
-
Haz copia de seguridad del registro usando el ERUNT; deshabilita el 'Restaurar el sistema', reinicia en Modo seguro, ejecuta el Autoruns, selecciona con el botón derecho la siguiente entrada y dale a 'Delete':
+ SpyBrowser File not found: C:\Archivos de programa\SpyBro\SpyBro.exe
Reinicia normal, actualiza el antivirus y pásalo iniciando en Modo seguro... Estando en Modo seguro, saca un nuevo log del Autoruns y otro del HijackThis...