Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: BATWB en 26 de Enero de 2007, 08:03:58 pm
-
Buenas segun el programa NoAdware estoy infectado por el troyano Skinttrim y me da la localización en el registro:
- HKCR_OutlookAddin.Addin.
- HKCR_OutlookAddin.Addin.1
- HKLM_software_microsoft_office_outlookAddin.Addin
Las he intentado borrar tanto con el programa como manualmente y cada reinicio del pc se cargan nuevamente y así cada vez.
Aquí pego un log del hijackthis para ver si algun maestro me puede ayudar:
Logfile of HijackThis v1.99.1
Scan saved at 20:02:26, on 26/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\LAD\SEGURETAT\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101920745845
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A157816-4A4F-496C-AF72-BCBDE9036576}: NameServer = 62.151.2.8,62.151.8.100
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Espero vuestra ayuda para deshacerme del bicho del demonio, salu2 :fadao:
-
Aquí dejo tambien un log de elistar y otro de autoruns:
Elistar
Fri Jan 26 20:16:19 2007
EliStartPage v13.20 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri Jan 26 20:16:43 2007
EliStartPage v13.20 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor
C:\Archivos de programa\Azureus\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Screamer Radio\UNINST.EXE --> AutoExtraible
Autoruns
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ kis Kaspersky Anti-Virus (Not verified) Kaspersky Lab c:\archivos de programa\kaspersky lab\kaspersky internet security 6.0\avp.exe
+ nwiz File not found: nwiz.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
C:\Documents and Settings\TONVER\Menú Inicio\Programas\Inicio
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Classes\Protocols\Filter
+ application/octet-stream Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-complus Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ application/x-msdownload Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
HKLM\SOFTWARE\Classes\Protocols\Handler
+ cetihpz HPCETIUI Protocol Handler Module (Not verified) Hewlett-Packard Company c:\archivos de programa\hp\hpcoretech\comp\hpuiprot.dll
+ ms-itss Microsoft® InfoTech Storage System Library (Not verified) Microsoft Corporation c:\archivos de programa\archivos comunes\microsoft shared\information retrieval\msitss.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
+ n/a Microsoft .NET IE SECURITY REGISTRATION (Not verified) Microsoft Corporation c:\windows\system32\mscories.dll
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ AlcoholShellEx AXShlEx.dll (Verified) Alcohol Soft Code Signing Services c:\archivos de programa\alcohol soft\alcohol 120\axshlex.dll
+ Antivirus de la Web Script Monitor Internet Explorer plugin (Not verified) Kaspersky Lab c:\archivos de programa\kaspersky lab\kaspersky internet security 6.0\scieplugin.dll
+ Desktop Explorer NVIDIA Desktop Explorer, Version 66.93 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Desktop Explorer Menu NVIDIA Desktop Explorer, Version 66.93 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Extensión de paneo de pantalla del Panel de control File not found: deskpan.dll
+ Fusion Cache Microsoft .NET Runtime Execution Engine (Not verified) Microsoft Corporation c:\windows\system32\mscoree.dll
+ nView Desktop Context Menu NVIDIA Desktop Explorer, Version 66.93 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll
+ Shell Extensions for RealOne Player RealPlayer Shell Extensions (Not verified) RealNetworks, Inc. c:\archivos de programa\real\realplayer\rpshell.dll
+ Shell Icon Handler for Application References Application Deployment Support Library (Not verified) Microsoft Corporation c:\windows\system32\dfshim.dll
+ ShellLink for Application References Application Deployment Support Library (Not verified) Microsoft Corporation c:\windows\system32\dfshim.dll
+ WinRAR shell extension c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ PDF Shell Extension PDF Shell Extension (Not verified) Adobe Systems, Inc. c:\archivos de programa\adobe\acrobat 7.0\activex\pdfshell.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Adobe PDF Reader Link Helper Adobe Acrobat IE Helper Version 7.0 for ActiveX (Verified) Adobe Systems, Incorporated c:\archivos de programa\adobe\acrobat 7.0\activex\acroiehelper.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
+ Uninstall BitDefender Online Scanner v8 c:\windows\bdoscandel.exe
Task Scheduler
HKLM\System\CurrentControlSet\Services
+ AVP Ofrece protección contra virus y software espía, ataques de intrusos, cibercrimen y correo no solicitado. (Not verified) Kaspersky Lab c:\archivos de programa\kaspersky lab\kaspersky internet security 6.0\avp.exe
+ NVSvc Provides system and desktop level support to the NVIDIA display driver File not found: C:\WINDOWS\System32\nvsvc32.exe
+ PDSched PDSched Module (Not verified) Raxco Software, Inc. c:\archivos de programa\raxco\perfectdisk\pdsched.exe
+ StarWindService Enables network access to local devices via iSCSI protocol. (Not verified) Rocket Division Software c:\archivos de programa\alcohol soft\alcohol 120\starwind\starwindservice.exe
HKLM\System\CurrentControlSet\Services
+ ElbyCDFL ElbyCDIO Filter Driver (Not verified) SlySoft, Inc. c:\windows\system32\drivers\elbycdfl.sys
+ ElbyCDIO ElbyCD Windows NT/2000/XP I/O driver (Not verified) Elaborate Bytes AG c:\windows\system32\drivers\elbycdio.sys
+ HWIONT Hwiont (Not verified) The freeware company c:\archivos de programa\canal plus plus\moretv\hwiont.sys
+ kl1 Kaspersky Unified Driver (Not verified) Kaspersky Lab c:\windows\system32\drivers\kl1.sys
+ klif spuper-ptor (Not verified) Kaspersky Lab c:\windows\system32\drivers\klif.sys
+ pctvNT PCTV WDM Driver for Win2K (Not verified) Pinnacle Systems c:\windows\system32\drivers\pctvw2k.sys
+ pfc Padus(R) ASPI Shell (Not verified) Padus, Inc. c:\windows\system32\drivers\pfc.sys
+ SOCKFILT.DLL File not found: C:\ARCHIV~1\Agnitum\OUTPOS~1\kernel\SOCKFILT.DLL
+ sptd c:\windows\system32\drivers\sptd.sys
+ TESTCAP PCTV NT Audio Driver (Not verified) Pinnacle Systems c:\windows\system32\drivers\pctvaud.sys
+ USBSHGX SHARP GX series USB Driver (Not verified) SHARP c:\windows\system32\drivers\usbgx_2.sys
+ vaxscsi c:\windows\system32\drivers\vaxscsi.sys
+ vulfnths VIA USB Host Controller Lower Filter Driver (Not verified) VIA Technologies, Inc. c:\windows\system32\drivers\vulfnth.sys
+ vulfntrs VIA USB Roothub Lower Filter Driver (Not verified) VIA Technologies, Inc. c:\windows\system32\drivers\vulfntr.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
+ PDBoot.exe PerfectDisk Boot Time Defragmentation (Not verified) Raxco Software, Inc. c:\windows\system32\pdboot.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
+ C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll kldialhk (Not verified) Kaspersky Lab c:\archivos de programa\kaspersky lab\kaspersky internet security 6.0\adialhk.dll
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ klogon Logon Visualizer (Not verified) Kaspersky Lab c:\windows\system32\klogon.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
:fadao:
-
Con toda sinceridad, no deberías hacer mucho caso a eso.
Mira aquí http://www.daboweb.com/foros/index.php/topic,29391.0.html observarás que ese programa está considerado como "Falso antiespiware"
Yo que tú, haría escaneos con otros antiespys más confiables
http://www.daboweb.com/foros/index.php/topic,13343.0.html
http://www.destroyerweb.com/tutos/ad-aware-se/manual-ad-aware-se.htm
http://www.destroyerweb.com/manuales/ewido-micro/ewido-micro.htm
e incluso alguno online, y en cualquier caso si tu pc no da síntomas de infección, y estos programas que te cito no te dan nada, pues a olvidarse del NoAdware, eso sí, mejor lo desinstalas.
Saludos
-
Hola Danae,
la verdad es que mi pc se ralentiza hasta el punto de bloquearse y por eso creo que algo no deseado hay en su interior.
Otra vez que tuve un problema similar me pidieron todos los logs que he colgado y me lo solucionaron borrando ciertas entradas.
Voy a examinar mi pc con los programas que comentas, 2 ya los uso habitualmente y me inicaré con el ewido, y espero que alguien me mire los logs y me comente que hacer.
Gracias y salu2 :panic:
-
Como bien te ha dicho Danae desinstala ese falso antispyware.
Tu log no tiene nada raro salvo registros desconectados.
Actualiza tu sistema, Aqui (http://update.microsoft.com/microsoftupdate/v6/default.aspx?ln=es)
Pasale el AVG-AntiSpware (http://www.daboweb.com/foros/index.php/topic,26738.0.html). (Actualizalo y guarda el report despues de darle a eliminar infecciones)
Borra todas las cookies y el registro con CCleaner (http://www.daboweb.com/index.php?option=com_content&task=view&id=598&Itemid=149):
Vete a Panel de Control--> Java y elimina todos los archivos temporales. (Si utilizas JAVA)
Pega un nuevo Log del Hijackthis, y el Report del AVG-AntiSpware.
Un Saludo
PD: Ademas desfragmenta el disco y libera espacio en la unidad
-
He hecho todo lo que me has dicho menos lo de actualizar mi windows pq está el problema del WGA. Una cosa, cuando se ralentiza tanto que se llega a bloquear durante unos segundos el proceso que me consume un 95% de recursos es el iexplore.exe, cuando este baja en consumo el pc vuelve a la vida.
Aquí te cuelgo los logs del AVG y del Hijackthis, ya te avanzo que el AVG no encontró nada:
HIJACKTHIS
Logfile of HijackThis v1.99.1
Scan saved at 11:53:13, on 27/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\ctfmon.exe
D:\LAD\SEGURETAT\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101920745845
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A157816-4A4F-496C-AF72-BCBDE9036576}: NameServer = 62.151.2.8,62.151.8.100
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
AVG
---------------------------------------------------------
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------
+ Creado en: 11:49:31 27/01/2007
+ Resultado del análisis:
No se encontró nada.
::Fin del informe
Tengo els kaspersky is 6 y he hecho dos escaneos completos, uno normal y otro a prueva de errores, y no me ha encontrado nada. El SpyBootSearch&Destroy y el Ad-Aware SE tampoco me encuentran nada cuando el No adware si y pone que es severo. Lo cierto es que el proceso iexplore.exe me consume como un vampiro |o|
Espero indicaciones, gracias y salu2 ;-)
-
Limpio, no tiene nada raro.
cuando el No adware si y pone que es severo. Lo cierto es que el proceso iexplore.exe me consume como un vampiro
Desinstalalo, eso es un falso dispositivo.
El IExplorer es el proceso del navegador, puede ser cosa de algun programa que pide paso a la red o mismo el No adware. Quita del inico de windows todo aquello que no haga falta, como el Alcohol 120.
Haz un par de Scan on line
http://www.pandasoftware.com/products/acti...n_principal.htm
http://www.kaspersky.com/beta?product=161744315
http://housecall.trendmicro.com/
http://www.bitdefender.com/scan8/
http://www.ravantivirus.com/scan/
http://www.windowsecurity.com/trojanscan/
http://us.mcafee.com/root/mfs/default.asp
http://security.symantec.com/sscv6/default...id=ie&venid=sym
Pega los resultados de los Scan y un nuevo log de HijackThis.
Un Saludo
PD: Los logs se sacan en modo normal.
-
Buenas noches,
ya he pasado un par de escaneos online, uno con el activescan de panda y otro con el windowsecurity, estos son los logs:
a-squared Free - Version 2
Scan settings:
Objects: Memory, Traces, Cookies, C:\WINDOWS\, C:\Archivos de programa
Scan archives: On
Heuristics: Off
ADS Scan: On
Scan start: 27/01/2007 21:19:55
Scanned
Files: 72980
Traces: 94983
Cookies: 7
Processes: 24
Found
Files: 0
Traces: 9
Cookies: 0
Processes: 0
Scan end: 27/01/2007 21:59:35
Scan time: 0:39:40
y
ACTIVE SCAN
Incidencia Estado Elemento
Spyware:Cookie/Doubleclick No desinfectado C:\Documents and Settings\TONVER\Datos de programa\Mozilla\Firefox\Profiles\ip864bnb.default\cookies.txt[.doubleclick.net/]
De ambos ya he borrado lo que me han encontrado, uno con automático y el active scan manual.
Aquí va el log posterior del hijacthis:
Logfile of HijackThis v1.99.1
Scan saved at 23:28:57, on 27/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\LAD\SEGURETAT\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101920745845
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A157816-4A4F-496C-AF72-BCBDE9036576}: NameServer = 62.151.2.8,62.151.8.100
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Quiero remarcar que des de que el no adware me dice que tengo un troyano ha empezado a ralentizarse mi pc cuando utilizo el explorer como navegador, consumiendo muchos recursos iexplore.exe. Es por esto que creo que alguna infección hay porque antes usaba el explorer y no tenia ningún problema.
Quedo a espera de vuestras intrucciones, gracias. :smoke:
-
Quiero remarcar que des de que el no adware me dice que tengo un troyano ha empezado a ralentizarse mi pc cuando utilizo el explorer como navegador, consumiendo muchos recursos iexplore.exe. Es por esto que creo que alguna infección hay porque antes usaba el explorer y no tenia ningún problema.
Quedo a espera de vuestras intrucciones, gracias.
1º Tu log esta limpio
2º Haz el Scan en McAfee ya que detecta ese troyano (si es que esta)
3º Reinicia en modo seguro y con la opcion de ver archivos y carpetas ocultas tildada.
4º Una vez en modo seguro, vete a Inicio-->Ejecutar--> tecleas Regedit y dentro del editor de registros elimina si existen:
HKCR_OutlookAddin.Addin.
HKCR_OutlookAddin.Addin.1
HKLM_software_microsoft_office_outlookAddin.Addin
HKEY_CURRENT_USER\Software\epk_extr
HKEY_CURRENT_USER\Software\exts
HKEY_CURRENT_USER\Software\exts\{8E09CB72-3143-4414-A1C2-63E9C0438472}
HKEY_CURRENT_USER\Software\MailSkinner
HKEY_CURRENT_USER\Software\Microsoft\Installer
HKEY_CURRENT_USER\Software\Microsoft\Installer\Features
HKEY_CURRENT_USER\Software\Microsoft\Installer\Products\
96FF640DA68D6C24EAF73B276C0844D6
HKEY_CURRENT_USER\Software\Microsoft\Installer\UpgradeCodes\
589C136F0E6FCEA4FAC5EFBABA79F5A0
HKEY_CLASSES_ROOT\CLSID\{180B4EE9-1795-4429-9651-F17A6515726D}
HKEY_CLASSES_ROOT\Interface\{0A089E22-5736-4092-B3F8-3F0D5F345482}
HKEY_CLASSES_ROOT\OutlookAddin.Addin HKEY_CLASSES_ROOT\OutlookAddin.Addin.1
HKEY_CLASSES_ROOT\TypeLib\{5BAD7FAE-81F0-4439-8C1A-3E8907998047}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\OutlookAddin.Addin
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\
UpgradeCodes\589C136F0E6FCEA4FAC5EFBABA79F5A0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\{D046FF69-D86A-42C6-AE7F-B372C680446D}
Ademas en windows\ system32 \ busca y elimina si estan:
msegcompid.dll, msclock32.jpg y axsetup.dll
5º Desinstala el No adware es un falso Antiespias que agrega Spywares.
Un Saludo
-
Hola de nuevo,
cuando pensaba que, siguiendo tus indicaciones, me habia librado del cuelgue del pc en ciertos momentos ha vuelto a colgarse de vez en cuando consumiendo un monton de recursos.
He encontrado unos procesos corriendo que según paginas de internet son troyanos, son los siguientes:
- helpctl.exe
i
- guard.exe
Cuando se ha colgado el pc o bien los he visto los he finalizado pero veo que vuelven a salir. Los efectos que causan estos procesos son de saturacion del pc y cuelgue, lo que me pasa a mi. Pero cuando voy a buscar las entrada que en teoria han de haber creado no encuentro ninguna. Puede ser que si el troyano no está activo no encuentre las entradas de registro?
El kaspersky me va informando de que ciertos exe se han modificado, sin que yo hay hecho nada, y me pide autorización o bloqueo.
Así mismo me encuentro que cuando intento iniciar a modo de errores se me queda clavado con la pantalla en negro y las inscripciones:
multi<0>disk<0>rdisk<0>partition<1>\windows\system32\ntoskrnl.exe
y de aquí no pasa, el inicio normal es correcto.
Aquí vuelvo a dejar mi log del hijackthis para ver si se ve alguna cosa:
Logfile of HijackThis v1.99.1
Scan saved at 15:16:13, on 30/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet
Security 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft
Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol
120\StarWind\StarWindService.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet
Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\LAD\SEGURETAT\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet
Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de
programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655}
- (no file)
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky
Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner -
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet
Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de
programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de
programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Antivirus de la Web -
{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de
programa\Kaspersky Lab\Kaspersky Internet Security
6.0\scieplugin.dll
O9 - Extra button: (no name) -
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe
(file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online
Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} -
%windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia -
{92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de
programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de
programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE
Control) -
http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl
Class) -
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x
86/client/wuweb_site.cab?1101920745845
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan
Installer Class) -
http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared
Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan
Class) -
http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4950/mcf
scan.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{3A157816-4A4F-496C-AF72-BCBDE
9036576}: NameServer = 62.151.2.8,62.151.8.100
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development
a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware
7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown
owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet
Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown
owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de
programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. -
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket
Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol
120\StarWind\StarWindService.exe
____________________________________________________________________________________________
He de decir que todos los análisis con el kaspersky y el avg no me encuentran nada, dicen que todo ok, me voy a volver loco :panic:
-
Dame la ruta de esos procesos que encontraste y saca un nuevo log, lo copias con el documento de texto minimizado y lo pegas, ya que si te fijas asi como lo pegaste es muy dificil leerlo.
Ademas Haz un par de Scan on line
http://www.pandasoftware.com/products/acti...n_principal.htm
http://www.kaspersky.com/beta?product=161744315
http://housecall.trendmicro.com/
http://www.bitdefender.com/scan8/
http://www.ravantivirus.com/scan/
http://www.windowsecurity.com/trojanscan/
http://us.mcafee.com/root/mfs/default.asp
http://security.symantec.com/sscv6/default...id=ie&venid=sym
Pega los resultados de los Scan y un nuevo log de HijackThis.
Un Saludo
-
Respecto a la ruta de los procesos guard.exe y helpctl.exe no se como mirarte la ruta, yo lo vi en el administrador de tareas/procesos, si me explicas como lo he de hacer te lo cuelgo lo que pasa que ahora no estan pero ayer finalicé helpctl.exe y hoy al arrancar he finalizado el guard.exe que corria desde el inicio.
No se a que te refieres cuando dices que el log lo pegue minimizado el documento de texto pero voy a intentarlo, siempre los copio de igual manera:
Logfile of HijackThis v1.99.1
Scan saved at 17:40:09, on 30/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\LAD\SEGURETAT\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101920745845
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4950/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A157816-4A4F-496C-AF72-BCBDE9036576}: NameServer = 62.151.2.8,62.151.8.100
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Espero que te valga, no se pegarlo de otro modo. Supongo que si cuando se ejecutan los procesos saco un log hijackthis sale la ruta no? El problema es que desde que tengo este problema cuando hago un escaneo con qualquiera de los ad-aware/spyboot/avg me consume al 100% cuando antes me sobraban recursos para hacer otras cosas y cuando el troyano se activa estamos en la misma. Hoy tambien ha consumido casi el 100% el iexplore.exe.
Tambien he hecho un scan con los 3 antiespias y solo el spyboot me ha encontrado el SPIONFREI en tres entradas las quales ya he borrado pero tengo la ruta del registro por si te es de interés.
Bueno pues ahora voy a volver a realizar los scan online y ya te cuento, gracias.
-
Respecto a la ruta de los procesos guard.exe y helpctl.exe no se como mirarte la ruta, yo lo vi en el administrador de tareas/procesos, si me explicas como lo he de hacer te lo cuelgo lo que pasa que ahora no estan pero ayer finalicé helpctl.exe y hoy al arrancar he finalizado el guard.exe que corria desde el inicio.
Usa el buscador de windows, para encontrarlos, tilda la opcion de buscar en carpetas y archivos ocultos.
Ambos procesos son legales, dependiendo de la ruta en la que se ubiquen, asi que no borres o finalices nada, ya que sino no saldran en el log de HijackThis.
No se a que te refieres cuando dices que el log lo pegue minimizado el documento de texto pero voy a intentarlo, siempre los copio de igual manera:
Ahora esta bien pegado, sino compara los dos ultimos.
El log esta limpio, pega cuando los tengas los resultados integros de los Scan. (Elimina todos los archivos en cuarentena que tengas y cookies antes)
Un Saludo
-
El helpctl no lo ha encontrado, el guard.exe -1CEZBA9F.pf está en c\windows\Prefectch y guard.exe en c\Archivos de programa\grisoft\AVG-Anty-Spyware.
El panda active scan no me ha encontrado nada.
El Trend Micro me ha encontrado lo siguiente:
ADWARE_BESTOFFERS
1 Infecciones
Más información sobre este grayware/spyware...
Información general sobre este tipo de grayware/spyware
En estos momentos no se dispone de más información sobre este grayware/spyware...
Información general sobre este tipo de grayware/spyware
This adware is a plugin that can monitor or manipulate a user's Internet activity, usually posing as a toolbar or a search aid in the Internet browser. It genera...
Otros nombres: Win-Trojan/Clicker.83456 (Ahnlab), Adware.Bestofer (Ikarus), PAK:PE_Patch.PFD (Kaspersky), Adware-abetterintrnt (McAfee), Win32/Adware.BestOffer (Nod32), Trj|Downloader.FLS (Panda), The Best Offers Network (PestPatrol)
Plataforma: Sin datos
Primera aparición: Sin datos
Clasificación de riesgo general Muy bajoBajoMedioAlto
Información general sobre este tipo de grayware/spyware
This adware is a plugin that can monitor or manipulate a user's Internet activity, usually posing as a toolbar or a search aid in the Internet browser.
It generates pop-up advertisements.
It hijacks the Internet browser settings. Hence, the start page or search page of the browser may be changed from the usual user-defined settings.
It has the ability to retrieve and install additional adware or spyware on your computer.
It installs itself as a toolbar.
________________________________________________________________
CRCK_RAXCOPERF.A
1 Infecciones
Más información sobre este grayware/spyware...
Información general sobre este tipo de grayware/spyware
En estos momentos no se dispone de más información sobre este grayware/spyware...
Información general sobre este tipo de grayware/spyware
Otros nombres: No se conocen otros nombres
Plataforma: Sin datos
Primera aparición: Sin datos
Clasificación de riesgo general Muy bajoBajoMedioAlto
Información general sobre este tipo de grayware/spyware
Algunas infecciones de este grayware/spyware no se han podido eliminar automáticamente.
Haga clic aquí para conocer instrucciones de eliminación manual de estas infecciones.
Opciones de limpieza Limpiar automáticamente todas las infecciones detectadas
Seleccionar individualmente la acción para cada infección detectada
Infecciones por grayware o spywareNo realizar ninguna acción para la fila seleccionadaAl seleccionar esta columna se limpiará la infección correspondiente.Atención: si selecciona esta columna se eliminará la infección correspondiente (por ej. archivos infectados) del disco duro.Infecciones de este grayware o spywareAquí puede ver todas las infecciones que ha causado el grayware o el spyware anterior.CausaEsta columna indica la causa del error de limpieza.El sistema ha denegado el acceso al archivo.La limpieza no es compatible con el patrón actual.
TITLE_OF_GRAYWARE
0 Infecciones
Más información sobre este grayware/spyware...
Información general sobre este tipo de grayware/spyware
En estos momentos no se dispone de más información sobre este grayware/spyware...
Información general sobre este tipo de grayware/spyware
Otros nombres: No se conocen otros nombres
Plataforma: Sin datos
Primera aparición: Sin datos
Clasificación de riesgo general Muy bajoBajoMedioAlto
Información general sobre este tipo de grayware/spyware
Algunas infecciones de este grayware/spyware no se han podido eliminar automáticamente.
Haga clic aquí para conocer instrucciones de eliminación manual de estas infecciones.
Opciones de limpieza Limpiar automáticamente todas las infecciones detectadas
Seleccionar individualmente la acción para cada infección detectada
Infecciones por grayware o spywareNo realizar ninguna acción para la fila seleccionadaAl seleccionar esta columna se limpiará la infección correspondiente.Atención: si selecciona esta columna se eliminará la infección correspondiente (por ej. archivos infectados) del disco duro.Infecciones de este grayware o spywareAquí puede ver todas las infecciones que ha causado el grayware o el spyware anterior.CausaEsta columna indica la causa del error de limpieza.El sistema ha denegado el acceso al archivo.La limpieza no es compatible con el patrón actual.
Cookies HTTP
0 Detecciones
Una cookie (literalmente, galleta) se utiliza generalmente para almacenar datos relacionados con el usuario de una transacción de Internet que se ha realizado mediante un explorador con un servidor Web. Las cookies que se indican aquí son las llamadas "de perfil ", que tienen como único objetivo espiar sus hábitos de uso.
Opciones de limpieza Eliminar todas las cookies detectadas
Seleccionar individualmente la acción para cada cookie detectada
Conservar esta cookieEliminar esta cookieCookiesLas cookies mostradas se clasifican como peligrosas.CausaEsta columna indica la causa del error de limpieza.El sistema ha denegado el acceso a la cookie.La eliminación no es compatible con el patrón actual.
Vulnerabilidades de seguridad detectadas
TITLE_OF_VULNERABILITY
Aquí te pego un nuevo log del hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 21:12:34, on 30/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\LAD\SEGURETAT\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101920745845
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4950/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A157816-4A4F-496C-AF72-BCBDE9036576}: NameServer = 62.151.2.8,62.151.8.100
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Salu2 |o|
-
Tu log esta completamente limpio, el report del Scan no me dice la ruta del Adware (Aunque creo que sera una Cookie)
Repitelo en McAfee y pega el report. (No hacen falta mas logs)
Ademas comenta como va ahora el PC.
Un Saludo
-
Ahora no puedo realizar el escaneo, lo hare mas tarde, pero aquí te pego un log hijackthis con el guard.exe corriendo; se carga al inicio del windows:
Logfile of HijackThis v1.99.1
Scan saved at 8:22:09, on 31/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SYSTEM32\taskmgr.exe
D:\LAD\SEGURETAT\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [kis] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101920745845
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4950/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A157816-4A4F-496C-AF72-BCBDE9036576}: NameServer = 62.151.2.8,62.151.8.100
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Ahora el ordenador va bien pero no va como antes de que empezara todo, me explico, enseguida consume muchos recursos con nada que haga. Cualquier analisis con unos de los antiespias me consume como mínimo cerca de un 80% de recursos y no creo que sea normal. Antes tenia el outpost y el nod pero ahora he cambiado al kaspersky y no se si puede tener alguna relación... :???:
Bueno pues eso que luego haré el scaneo con el mcafee y te pego el report, buenos dias y salu2 :cansao:
-
El log esta totalmente limpio y si el KaspersKy consume mas que el Nod32.
Pega el report y desfragmenta la unidad, ademas de liberar espacio en el disco.
Un Saludo
-
Hola,
ya he pasado el mcafee y no me ha encontrado nada. No hace mas de una semana que desfragmente completamente el pc y no hay nada para liberar.
Ahora parece que funciona mejor y consume menos o parecido a lo que solia. Lo que no entiendo es porque el kaspersky is 6.0 de tanto en cuanto me informa de que algun programa se ha modificado, por ejemplo el firefox, y me pide que le vuelva a autorizar la conexion todo y que ya tiene reglas para el. Porque se modifican si no los actualizo?
He recuperado un programilla antitroyanos, el TrojanRemover y me ha informado de lo siguiente, lo que pasa que no se que hacer respecto de dejarlo tal como está o eliminarlo o renombrarlo:
The following file is called by the Windows Registry at boot time:
C:\WINDOWS\System32\nvsvc32.exe
An executable file with this name *has not* been found (it may not exist)
The program is loaded by the following Registry key
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NVSvc\"ImagePath"
________________________________________________________________
The Windows registry attempts to load this file at boot time:
C:\WINDOWS\System32\Drivers\sptd.sys
The program is loaded by the following Registry key:
HKLM\SYSTEM\CurrentControlSet\Services\sptd
_______________________________________________________________
The Windows registry attempts to load this file at boot time:
C:\WINDOWS\System32\Drivers\vaxscsi.sys
The program is loaded by the following Registry key:
HKLM\SYSTEM\CurrentControlSet\Services\vaxscsi
Salu2
-
Lo que no entiendo es porque el kaspersky is 6.0 de tanto en cuanto me informa de que algun programa se ha modificado, por ejemplo el firefox, y me pide que le vuelva a autorizar la conexion todo y que ya tiene reglas para el. Porque se modifican si no los actualizo?
Cualquier programa puede modificar infimamente el navegador, por eso te pasa o simplemente una pequeña infeccion y el kasperKy da el coñazo. (Es lo normal ahora que lo controlan todo)
A mi por ejemplo el McAfee me avisa hasta cuando le cambio el tamaño a la ventana del navegador :-D :-D
The following file is called by the Windows Registry at boot time:
C:\WINDOWS\System32\nvsvc32.exe
An executable file with this name *has not* been found (it may not exist)
Es legal y pertenece a la tarjeta NVidia y te dice que no encuentra el archivo para ejecutar ese programa, nada mas.
Con el resto lo mismo, te dice que ese registro intenta iniciarse con el boot del sistema.
La verdad es que si no te dice que estas infectado, yo lo dejaria asi.
Un Saludo
-
Buenas,
todos estos dias he estado controlando el tema y no ha vuelto ha quedar-se lelo en ningún momento ni hay ningún recurso que consuma desmesuradamente. Sigo controlando con scans de todo tipo y ninguno me detecta infección alguna, así que como tu dices lo voy ha dejar así.
Muchas gracias 171278 por aguantar el coñazo con mis logs y sobretodo por tu inestimable ayuda ;-)
Salu2 :mrgreen: