Tema: LOG DE HIJACKTHIS

[Aprendiz]

OK. Mr.X

Hice los pasos que ma has dicho

- Cree la copia del registro

-Reinicie a modo seguro y a qui esta el log de Autoruns y borre:

+ eanclass.dll         c:\windows\system32\eanclass.dll
+ mxasn1.dll         c:\windows\system32\mxasn1.dll

pero estos no los encontre ni buscando en hijackthis:

+ guard.tmp         c:\windows\system32\guard.tmp
+ BITS         c:\windows\system32\ir60l5jm1.dll

aqui pongo el log de Autoruns:

HKCU\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup         

HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup         

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon         

HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit         

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell         

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce         

C:\Documents and Settings\All Users\Start-meny\Program\Autostart         

C:\Documents and Settings\Windows XP\Start-meny\Program\Autostart         

+ ERUNT AutoBackup.lnk         c:\program\erunt\autoback.exe

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load         

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run         

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run         

HKCU\Software\Microsoft\Windows\CurrentVersion\Run         

+ msnmsgr   MSN Messenger   (Not verified) Microsoft Corporation   c:\program\msn messenger\msnmsgr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce         

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components         

HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler         

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad         

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad         

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks         

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved         

+ AVG7 Find Extension   AVG Shell Extension   (Not verified) GRISOFT, s.r.o.   c:\program\grisoft\avg free\avgse.dll

+ AVG7 Shell Extension   AVG Shell Extension   (Not verified) GRISOFT, s.r.o.   c:\program\grisoft\avg free\avgse.dll

+ isspolcy.dll         c:\windows\system32\isspolcy.dll

+ iTunes   iTunes Mini Player DLL   (Not verified) Apple Computer, Inc.   c:\program\itunes\itunesminiplayer.dll

+ kkdpl.dll         c:\windows\system32\kkdpl.dll

+ Mi P910i   File Manager interface   (Not verified) Teleca Software Solutions AB   c:\program\sony ericsson\mobile\auexpext.dll

+ PhotoToys   Windows XP PowerToys   (Not verified) Microsoft Corporation   c:\windows\system32\phototoys.dll

+ Shell Extensions for RealOne Player   RealPlayer Shell Extensions   (Not verified) RealNetworks, Inc.   c:\program\real\realone player\rpshell.dll

+ WinRAR shell extension         c:\program\winrar\rarext.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved         

HKLM\Software\Classes\Folder\Shellex\ColumnHandlers         

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects         

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks         

HKLM\Software\Microsoft\Internet Explorer\Toolbar         

HKLM\Software\Microsoft\Internet Explorer\Extensions         

Task Scheduler         

+ Norton AntiVirus - Scan my computer - Windows XP.job   Norton AntiVirus Scanner Module   (Verified) Symantec Corporation   c:\program\norton systemworks\norton antivirus\navw32.exe

+ Norton SystemWorks One Button Checkup.job   One Button Checkup   (Verified) Symantec Corporation   c:\program\norton systemworks\obc.exe

+ Symantec Drmc.job   Symantec Shared File   (Not verified) Symantec Corporation   c:\program\delade filer\symantec shared\symdrmc.exe

HKLM\System\CurrentControlSet\Services         

+ Avg7Alrt   AVG Alert Manager   (Not verified) GRISOFT, s.r.o.   c:\program\grisoft\avg free\avgamsvr.exe

+ Avg7UpdSvc   AVG Update Service   (Not verified) GRISOFT, s.r.o.   c:\program\grisoft\avg free\avgupsvc.exe

+ ccEvtMgr   Symantec Event Manager   (Verified) Symantec Corporation   c:\program\delade filer\symantec shared\ccevtmgr.exe

+ ccSetMgr   Symantec Settings Manager   (Verified) Symantec Corporation   c:\program\delade filer\symantec shared\ccsetmgr.exe

+ navapsvc   Handles Norton AntiVirus Auto-Protect events.   (Verified) Symantec Corporation   c:\program\norton systemworks\norton antivirus\navapsvc.exe

+ NPFMntor   Detects installation of Symantec Firewall clients   (Verified) Symantec Corporation   c:\program\norton systemworks\norton antivirus\iwp\npfmntor.exe

+ SBService   Norton AntiVirus ScripBlocking Service   (Verified) Symantec Corporation   c:\program\delade filer\symantec shared\script blocking\sbserv.exe

+ SNDSrvc   Symantec Network Drivers Service   (Verified) Symantec Corporation   c:\program\delade filer\symantec shared\sndsrvc.exe

+ SPBBCSvc   Symantec SPBBC   (Verified) Symantec Corporation   c:\program\delade filer\symantec shared\spbbc\spbbcsvc.exe

HKLM\System\CurrentControlSet\Services         

+ Avg7Core   AVG Scanning Engine   (Not verified) GRISOFT, s.r.o.   c:\windows\system32\drivers\avg7core.sys

+ Avg7RsW   AVG Resident Shield Unload Helper   (Not verified) GRISOFT, s.r.o.   c:\windows\system32\drivers\avg7rsw.sys

+ Avg7RsXP   AVG Resident Anti-Virus Shield   (Not verified) GRISOFT, s.r.o.   c:\windows\system32\drivers\avg7rsxp.sys

+ GEARAspiWDM   CDRom Class Filter Driver   (Verified) GEAR Software Inc.   c:\windows\system32\drivers\gearaspiwdm.sys

+ NAVENG   AV Engine   (Verified) Symantec Corporation   c:\program\delade filer\symantec shared\virusdefs\20060215.006\naveng.sys

+ NAVEX15   AV Engine   (Verified) Symantec Corporation   c:\program\delade filer\symantec shared\virusdefs\20060215.006\navex15.sys

+ SAVRT   AutoProtect   (Verified) Symantec Corporation   c:\program\norton systemworks\norton antivirus\savrt.sys

+ SAVRTPEL   SAVRTPEL   (Verified) Symantec Corporation   c:\program\norton systemworks\norton antivirus\savrtpel.sys

+ SDdriver   SDDRIVER   (Not verified) Symantec Corporation   c:\windows\system32\drivers\sddriver.sys

+ Secdrv   SafeDisc driver   (Not verified) Macrovision Europe Ltd   c:\windows\system32\drivers\secdrv.sys

+ SPBBCDrv   SPBBC Driver   (Verified) Symantec Corporation   c:\program\delade filer\symantec shared\spbbc\spbbcdrv.sys

+ SYMDNS   DNS Filter Driver   (Verified) Symantec Corporation   c:\windows\system32\drivers\symdns.sys

+ SymEvent   Symantec Event Library   (Verified) Symantec Corporation   c:\program\symantec\symevent.sys

+ SYMFW   Firewall Filter Driver   (Verified) Symantec Corporation   c:\windows\system32\drivers\symfw.sys

+ SYMIDS   IDS Filter Driver   (Verified) Symantec Corporation   c:\windows\system32\drivers\symids.sys

+ SYMIDSCO   IDS Core Driver   (Verified) Symantec Corporation   c:\program\delade filer\symantec shared\symcdata\ids-diskless\20051208.051\symidsco.sys

+ symlcbrd   Symantec Core Component   (Not verified) Symantec Corporation   c:\windows\system32\drivers\symlcbrd.sys

+ SYMNDIS   NDIS Filter Driver   (Verified) Symantec Corporation   c:\windows\system32\drivers\symndis.sys

+ SYMREDRV   Redirector Filter Driver   (Verified) Symantec Corporation   c:\windows\system32\drivers\symredrv.sys

+ SYMTDI   Network Dispatch Driver   (Verified) Symantec Corporation   c:\windows\system32\drivers\symtdi.sys

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute         

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options         

HKLM\SOFTWARE\Microsoft\Command Processor\Autorun         

HKCU\SOFTWARE\Microsoft\Command Processor\Autorun         

HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls         

HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify         

+ Installer         c:\windows\system32\o2480chuef480.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL         

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman         

HKCU\Control Panel\Desktop\Scrnsave.exe         

HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName         

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9         

+ Google Desktop         c:\program\google\google desktop search\googledesktopnetwork1.dll

+ Google Desktop over [MSAFD Tcpip [TCP/IP]]         c:\program\google\google desktop search\googledesktopnetwork1.dll

+ Google Desktop over [MSAFD Tcpip [UDP/IP]]         c:\program\google\google desktop search\googledesktopnetwork1.dll

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors         

+ Microsoft Document Imaging Writer Monitor   Microsoft® Document Imaging   (Not verified) Microsoft Corporation   c:\windows\system32\mdimon.dll

Y AQUI VA EL DE HIJACKTHIS:

Logfile of HijackThis v1.99.1
Scan saved at 18:29:17, on 2006-02-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Windows XP\Skrivbord\Carpeta solo para el HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.telia.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = jjkj
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar1.dll
O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: ERUNT AutoBackup.lnk = C:\Program\ERUNT\AUTOBACK.EXE
O8 - Extra context menu item: &Google-sökning - res://C:\Program\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Översätt engelskt ord - res://C:\Program\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Bakåtlänkar - res://C:\Program\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Lagrad bild på sida - res://C:\Program\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Liknande sidor - res://C:\Program\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\o2480chuef480.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

Y AQUI EL HOSTS

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Det här är HOSTS-exempelfilen som används av Microsoft TCP/IP för Windows.
#
# Den här filen innehåller mappningar av IP-adresser till värdnamn. Du bör
# inte ange fler än en post per rad. IP-adressen bör anges
# i den första kolumnen och följas av motsvarande värddatornamn.
# IP-adressen och värdnamnet måste åtskiljas av minst ett blanksteg.
#
# Kommentarer (som dessa) kan infogas på en egen rad eller
#
# Till exempel:
#

127.0.0.1       localhost
127.0.0.1  sds-qckads.com
127.0.0.1  status.qckads.com
127.0.0.1  www.qoolaid.com
127.0.0.1  www.qoologic.com
127.0.0.1  www.CLKPrecision.com
127.0.0.1  www.urllogic.com
127.0.0.1  www.clkoptimizer.com
127.0.0.1  www.isearch.com
127.0.0.1  isearch.com
127.0.0.1  www.idownload.com
127.0.0.1  idownload.com
127.0.0.1  www.mytotalsearch.com
127.0.0.1  mytotalsearch.com
127.0.0.1  www.lop.com
127.0.0.1  lop.com
127.0.0.1  www.websearch.com
127.0.0.1  websearch.com
127.0.0.1  www.page-not-found.net
127.0.0.1  page-not-found.net
127.0.0.1  www.isearchhere.com
127.0.0.1  isearchhere.com
127.0.0.1  as.adwave.com
127.0.0.1  sr.adwave.com
127.0.0.1  www.adwave.com
127.0.0.1  adwave.com EVENT:HOST:127.0.0.1
127.0.0.1  www.pacimedia.com
127.0.0.1  www.exactsearch.net
127.0.0.1  www.contextplus.net
127.0.0.1  www.contextplus.net
127.0.0.1  www.contextplus.net
127.0.0.1  www.contextplus.net
127.0.0.1  www.contextplus.net
127.0.0.1  www.contextplus.net
127.0.0.1  www.contextplus.net
#
#
127.0.0.1  www.contextplus.net
127.0.0.1  www.contextplus.net



AHORA QUE HE REINICIADO HE PASADO EL ANTIVIRUS COMO ME HAS DICHO, Y SIEMPRE SE HA ABIERTO UNA PAGINA DE ANUNCIOS Y ES: www.publishermania.com
EL ANTIVIRUS QUE USE ES AVG Y ENCONTRO UNAS CARPETAS CON VIRUS DE LAS QUE DICE QUE LAS HA LIMPIADO

[Mr_X]

Se están cambiando de nombre con cada reinicio... Deshabilita el "Restaurar el sistema" ANTES de borrar las entradas...

Código: [Seleccionar]

+ isspolcy.dll         c:\windows\system32\isspolcy.dll

+ kkdpl.dll         c:\windows\system32\kkdpl.dll

+ Installer         c:\windows\system32\o2480chuef480.dll

[Aprendiz]

HOla. Mr X, pues te cuento que yo suponia que lo tenia desactivado  y talvez me equivoque.
Lo que habia hecho es en panel de control/sistema/restaurar el sistema/ahi habia habilitado desactivar la restauracion
pero al parecer no me dio resultado pues cambian de nombre como tu dices
o hay otra forma de desactivar el restaurar el sistema?
Saludos.-

[Mr_X]

Pues así se deshabilita el "Restaurar el sistema", verifica el tamaño de la carpeta "System Volume Information"... Vacía los archivos temporales de Internet y de Windows (Herramienta "Liberar espacio en disco"), asegúrate que no haya ningún proceso "sospechoso" en el Administrador de tareas (teclas CTRL+ALT+Esc) como, por ejemplo, el rundll32.exe...

[Aprendiz]

Hola

Ok. ya hice todos los pasos:

1- La carpeta "system volume information"  tiene cero byte viendola en a prueba de fallos y en encendido normal

2-El borrado de los archivos temporales de windows tanto en a prueba de fallos como en encendido normal no se puede borrar "index.dat" que se encuentra dentro de las 3 unicas carpetas que aparecen y que son: -cookies, -anteriores -archivos temporales de internet

3-Si he podido eliminar los temporales de internet lo curioso es que cuando los busque en encendido normal ahi estaban asi que los he vuelto a borrar
c:\documents and settings\windows xp\instalaciones lokales\archivos temporales de internet

4-Si he encontrado RUNDLL32.EXE tanto en modo a prueba de fallos como en encendido normal en los dos lo ha borrado y rapido vuelve a aparecer.-

 

[Mr_X]

Sigue las instrucciones de este otro foro...

[Aprendiz]

Hola, hoy si creo que meti las extremidades inferiores, porque no entro a windows.

ok, fui al foro he hice lo que dice meterse en HijackThis localizar los archivos maliciosos y borrarlos con el programa Killbox los archivos que nose borraron los desabilite en sus obciones para todos los usuarios, cuando trate de reiniciar a modo normal la computadora se encendio y llego hasta el logo de windows pero de ahi ya no ha pasado, ya probe todas las opciones que se encuentran con F8, iniciar en modo a prueba de fallos, iniciar con la ultima configuracion que funciona, pero no pasa nada llega hasta el logo de windows y comienza un cilo de estarse encendiendo y a pagando ella sola.

Puedo recuperar algunos archivos?


Bueno hasta pena me da, pero ni modo voy a poner los archivos que quite,
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Windows XP\Skrivbord\Carpeta solo para el HijackThis\HijackThis.exe

parece que me he mandado una buena c...

[Mr_X]

Vaya, vaya, deshabilitaste medio sistema de Windows. ¿Dónde leíste que tenías que borrar esos programas? Porque no los deshabilitaste ¿o sí?
Si los borraste, te toca entrar a la Consola de recuperación y copiarlos desde el CD de instalación...

[Aprendiz]

Si Mr, y porque crees que te digo que me da pena pues  pero la verdad es que yo entendi mal y que tambien el paso numero 5 de el otro foro http://www.forospyware.com/t4239.html , mejor no hubieran mensionado esos archivos, pegale una chequeadita

ahora si me siento en la mera luna,.

entonces como le hago?, pongo el disco de windows y me meto en ....?

se rescatarian algunos de mis archivos?

[Mr_X]

La primera opción (y la más fácil) es reinstalar Windows...

La segunda opción es mediante la Consola de recuperación: Inicia la máquina con el CD de XP, presiona la tecla 'R' recién comienza la instalación, selecciona la instalación de XP (debe ser la número 1), escribe la contraseña del Administrador; ya en la Consola, cámbiate a la unidad del CD y de ahí al directorio i386 y extrae los archivos del CD al directorio C:\WINDOWS\SYSTEM32:

Código: [Seleccionar]

D:
CD i386
EXPAND SMSS.EX_ C:\WINDOWS\SYSTEM32\SMSS.EXE
EXPAND WINLOGON.EX_ C:\WINDOWS\SYSTEM32\WINLOGON.EXE
EXPAND SERVICES.EX_ C:\WINDOWS\SYSTEM32\SERVICES.EXE
EXPAND LSASS.EX_ C:\WINDOWS\SYSTEM32\LSASS.EXE
EXPAND SVCHOST.EX_ C:\WINDOWS\SYSTEM32\SVCHOST.EXE
EXPAND RUNDLL32.EX_ C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
EXPAND EXPLORER.EX_ C:\WINDOWS\EXPLORER.EXE
Si todo fue bien, retira el CD y escribe exit para reiniciar... Cruza los dedos... En el caso que arrancara Windows, procede a actualizarlo desde Windows Update...