« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: hasta los cataplines de virus  (Leído 3856 veces)

Desconectado Jaime

  • Junior Member
  • **
  • Mensajes: 12
hasta los cataplines de virus
« en: 30 de Junio de 2004, 06:27:41 pm »
Hola de nuevo!

Sigo infestao.

Utilizo avasti, adware y the cleaner. Tambien tenia hasta hace poco un cortafuegos distinto del de MS, pero lo quite.

El ordenador se me llena de virus haga lo que haga. La pagina se me cambia a una guia en cada inicio del explorer.

En las tareas veo procesos con distintos nombres que no se de donde salen. El nombre es siempre distinto, pero los Bytes iguales.

En los programas veo un par de ellos que no recuerdo haber instalado:
HomeSearch, Search extender y Zone Alarm, que no se dejan desinstalar, porque para desinstalar buscan noseque en la red.

En el cliq derecho del raton en el explorer me sale una alternativa llamada "hardcore movies" que yo no he puesto alli.

Intento reinstalar el XP pero todo sigue igual.

He pensado en hacer una nueva particion, meter el Xp alli y luego borrar el XP original, pero el cmd no me reconoce Fdisk.

Hasta los cataplines como digo he pensado en reformatear todo el c, pero no puedo forzarlo, ya que esta el disco esta en uso (solo tengo uno).

Se os ocurre algo?

Ciao

Jaime
En línea

Desconectado choche

  • Iniciado
  • *****
  • Mensajes: 3697
hasta los cataplines de virus
« Respuesta #1 en: 30 de Junio de 2004, 06:48:17 pm »
Hola Jaime, lo q tienes es spyware.  Vas a tener q usar el ad-aware.

Bájate Ad-aware
Actualizar Archivo de Referencia
Cómo realizar un "Full Scan" con Ad-aware 6.181

Cuando hayas echo todo esto, escanea tu pc y publica el log en el foro de  Spyware, Soft espía.
En línea

Desconectado choche

  • Iniciado
  • *****
  • Mensajes: 3697
hasta los cataplines de virus
« Respuesta #2 en: 30 de Junio de 2004, 06:55:12 pm »
Por cierto te lo he movido al foro de spyware,soft espia,...

Seguimos por allí  vales? :wink:
En línea

Desconectado Jaime

  • Junior Member
  • **
  • Mensajes: 12
hasta los cataplines de virus
« Respuesta #3 en: 02 de Julio de 2004, 04:22:57 pm »
Gracias por tu respuesta,

El ad-aware ya lo tenia y no me los ve. El Cleaner me quita unos cuantos troyanos que el otro no me habia visto, pero el problema base persiste: tengo algo que invita troyanos desde el ordenador, casi siempre uno que se llama Agent.

No me importa mucho tener que reinstalar todo el XP, pero como decia, no se como hacerlo, porque no me reconoce el comando fdisk ni me deja reformatear. Como hago?

saludos

Jaime
En línea

Desconectado choche

  • Iniciado
  • *****
  • Mensajes: 3697
hasta los cataplines de virus
« Respuesta #4 en: 02 de Julio de 2004, 04:57:37 pm »
Haz lo q te digo vuelve a escaner con el ad-aware y publica el Log completo.  

De paso Descargate el StartupRun desde aquí  http://nirsoft.mirrorz.com/
Cuando lo tengas abrelo y pulsas Edit - Select All - View - Html Report (Vertical) - Copias todo y lo pegas aquí.
En línea

Desconectado Jaime

  • Junior Member
  • **
  • Mensajes: 12
hasta los cataplines de virus
« Respuesta #5 en: 02 de Julio de 2004, 06:36:27 pm »
Gracias de nuevo
Ahi va la lista del start up
el atlw... y los del final seran troyanos, no? Como los quito?
Saludos
Jaime
Startup Programs List


Created by using StartupRun
Item Name AcroIEHlprObj Class  
Type Browser Helper Objects  
Command C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll  
Disabled No  
Product Name AcroIEHelper Library  
File Version 6.0.1.2003110300  
Description Adobe Acrobat IE Helper Version 6.0 for ActivieX  
Company Adobe Systems Incorporated  
Location    


Item Name Ad-aware  
Type Registry -> Machine Run  
Command "C:\Program\Lavasoft\AD-AWA~1\Ad-aware.exe" +c  
Disabled No  
Product Name Lavasoft Ad-aware Plus  
File Version 6.0.1.181  
Description Ad-aware 6 core application  
Company Lavasoft Sweden  
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  


Item Name atlwb32.exe  
Type Registry -> Machine Run  
Command C:\WINDOWS\system32\atlwb32.exe  
Disabled No  
Product Name    
File Version    
Description    
Company    
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  


Item Name avast!  
Type Registry -> Machine Run  
Command C:\Program\ALWILS~1\Avast4\ashDisp.exe  
Disabled No  
Product Name avast! Antivirus  
File Version 4, 1, 389, 0  
Description avast! service GUI component  
Company    
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  


Item Name IMJPMIG8.1  
Type Registry -> Machine Run  
Command C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32  
Disabled No  
Product Name Microsoft IME 2002  
File Version 8.1.3201.0  
Description Microsoft IME  
Company Microsoft Corporation  
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  


Item Name Microsoft Works Portfolio  
Type Registry -> Machine Run  
Command C:\Program\Microsoft Works\WksSb.exe /AllUsers  
Disabled No  
Product Name Microsoft® Works 6.0  
File Version 6.00.1911.0  
Description Microsoft® Works PortFolio  
Company Microsoft® Corporation  
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  


Item Name Microsoft Works Update Detection  
Type Registry -> Machine Run  
Command C:\Program\Microsoft Works\WkDetect.exe  
Disabled No  
Product Name Microsoft® Works 6.0  
File Version 6.00.1911.0  
Description Identifiera uppdatering för Microsoft® Works  
Company Microsoft® Corporation  
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  


Item Name MSConfig  
Type Registry -> Machine Run  
Command C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto  
Disabled No  
Product Name Operativsystemet Microsoft® Windows®  
File Version 5.1.2600.0 (xpclient.010817-1148)  
Description Systemkonfiguration  
Company Microsoft Corporation  
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  


Item Name MSPY2002  
Type Registry -> Machine Run  
Command C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC  
Disabled No  
Product Name    
File Version    
Description    
Company    
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  


Item Name PHIME2002A  
Type Registry -> Machine Run  
Command C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName  
Disabled No  
Product Name Intelligent  
File Version 5.2.1815  
Description Intelligent IME version 2002a  
Company Microsoft Corporation  
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  


Item Name PHIME2002ASync  
Type Registry -> Machine Run  
Command C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC  
Disabled No  
Product Name Intelligent  
File Version 5.2.1815  
Description Intelligent IME version 2002a  
Company Microsoft Corporation  
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  


Item Name tcactive  
Type Registry -> Machine Run  
Command C:\Program\The Cleaner\tca.exe  
Disabled No  
Product Name TCActive  
File Version 3.1.0.3073  
Description The Cleaner Active Process Monitor  
Company MooSoft Development  
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  


Item Name tcmonitor  
Type Registry -> Machine Run  
Command C:\Program\The Cleaner\tcm.exe  
Disabled No  
Product Name TC Monitor  
File Version 2.1.0.2043  
Description The Cleaner Registry and File Monitor  
Company MooSoft Development  
Location HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run  


Item Name {22B6DEDD-4D24-57B5-33E8-6815E283E89C}  
Type Browser Helper Objects  
Command C:\WINDOWS\system32\sdkqk32.dll  
Disabled No  
Product Name    
File Version    
Description    
Company    
Location    


Item Name {DD64FBB3-0059-FB29-AE0F-FEDA2065FC44}  
Type Browser Helper Objects  
Command C:\WINDOWS\crgc.dll  
Disabled No  
Product Name    
File Version    
Description    
Company    
Location    


Item Name {F18949DB-2CBC-81C3-5DC7-B25366CB61D4}  
Type Browser Helper Objects  
Command C:\WINDOWS\sysob32.dll  
Disabled No  
Product Name    
File Version    
Description    
Company    
Location    
ArchiveData(auto-quarantine- 02-07-2004 18-17-16.bckp)
======================================================




Y la copia del log de Ad-aware:



POSSIBLE BROWSER HIJACK ATTEMPT
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[0]=RegData : Software\Microsoft\Internet Explorer\Main
obj[1]=RegData : Software\Microsoft\Internet Explorer\Main

COOLWEBSEARCH
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[2]=RegKey : CLSID\{E69D7404-52DA-A488-F5DB-A7618C654281}
obj[3]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[4]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[5]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[6]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[7]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[8]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[9]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[10]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[11]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[12]=RegValue : Software\Microsoft\Windows\CurrentVersion\RunOnce
obj[13]=RegKey : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E69D7404-52DA-A488-F5DB-A7618C654281}
obj[14]=RegKey : SYSTEM\CurrentControlSet\Services\__NS_Service_3
obj[15]=RegKey : SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA
obj[16]=RegKey : SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE
obj[17]=RegKey : SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW
obj[18]=File : c:\windows\winfk32.dll
obj[19]=File : c:\windows\mfcfe.exe
obj[20]=File : c:\windows\system32\wints32.exe
obj[21]=File : c:\windows\netsd.exe
obj[22]=File : c:\windows\system32\msbj32.exe
obj[23]=File : c:\windows\d3fz.exe
obj[24]=File : c:\windows\system32\d3io32.exe
obj[25]=File : c:\windows\system32\mfcxp32.exe
En línea

Desconectado choche

  • Iniciado
  • *****
  • Mensajes: 3697
hasta los cataplines de virus
« Respuesta #6 en: 02 de Julio de 2004, 07:58:49 pm »
Del ad-aware necesito el log entero. Vuelve a pasarlo en modo a prueba de fallos, cierra todas los programas y ventanas de navegador, corre ad-aware con la última actualizacion y haz un scan completo.

Por último tambien haz un scan desde aquí http://www.windowsecurity.com/trojanscan/

El atlwb32.exe puede q sea un troyano o puede q no, lo q si es cierto es q por google no sale nada. Al igual q con sdkq32.dll, crgc.dll y sysob32.dll
En línea

Desconectado Jaime

  • Junior Member
  • **
  • Mensajes: 12
hasta los cataplines de virus
« Respuesta #7 en: 02 de Julio de 2004, 11:15:14 pm »
Conyé que eficiencia!

Molte grazie

Pero mas problemillas:

el trojanscan me corre, pero termnia parandose y diciendome badrequest, yo no veo cual es el problema. antes me encuentra un par de sitios a los que no accede. Empiezan C:\6...
Yo no veo nada que se llame asi.

Para correr el adaware como me dices cierro los dos (?) explorer que e salen en las tareas, pero entonces se queda solo el salvapantallas y no se puede hacer mas.

Las otras dos preguntas:

*porque no va el fdisk? No existe en XP? es buena idea? y lo del format?
cómo desinsatalo Xp?
*y, como modifico los programas del boot o lo que haga falta? el config y el auto estan aparentemente vacios.
 Saludos

Jaime
En línea

Desconectado choche

  • Iniciado
  • *****
  • Mensajes: 3697
hasta los cataplines de virus
« Respuesta #8 en: 03 de Julio de 2004, 11:05:47 am »
Citar
Para correr el adaware como me dices cierro los dos (?) explorer que e salen en las tareas, pero entonces se queda solo el salvapantallas y no se puede hacer mas.


Inicia sesión en modo seguro,  sin conexión a internet y evita abrir algun programa mientras haa el escaneo. Una vez concluido reincias en modo normal y escanea desde este sitio a ver:

http://scan.sygate.com/pretrojanscan.html

Si tampoco va, instalate el the cleaner. Aquí tienes un manual
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.