| rinosemberg |  |
|
2008-12-19 16:22 - Respuestas: 16 - Tema nº: 2561762
Características: Windows XP Profesional DD 80 gb, celeron de 2.66 GHz, 504 MB Ram.
Buenas tardes:
Saludos.
Tengo un problema con el antivirus (Avast) me ha aparece una ventana que estoy siendo atacado por un virus troyano - software prejudicial - y me dice que lo mejor es mandar al baul (chest) y cuando doy clic en el me sale encima de la barra de inicio otra barra en tonos amarillo con la misma alerta. después de realizar lo anterior varias veces sale un aviso de email o de avisos lleno, me sale otro mensaje que dice se ha encontrado material sospechoso y de nuevo sigue saliendo la alerta.
es muy desesperante y lo que hago es desconectar el cable de red y se intenta arreglar. Pasa cada ratico que puedo hacer????
realice lo siguiente según características del problema:
* inicie el compu a prueba de errores, con la tecla F8
*Realice escaneo del compu con el avast y el dr web (elimino dos virus supuestamente)
* realice desfragmentación del disco (por que esta muy lento mi pc)
* reinicie y aplique el Lavasoft Ad-Aware (elimino 3 sospechosos)
* aplique el windows washer (limpiar temporales, basura, historiales., etc)
* aplique el TuneUp Utilities 2008 (mejorar el sistema)
después de todo esto, aumentaron las alarmas, que paso??????
aqui dejo lo siguiente, porque se que lo necesitan para estudiar mi pc
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:14:53 a.m., on 19/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Documents and Settings\Administrador\svchost.exe
C:\Archivos de programa\HDD Thermometer\HDD Thermometer.exe
C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Documents and Settings\Administrador\svchost.exe
C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\userinit.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device
Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Washer\WasherSvc.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\TEMP\AC28.tmp
C:\WINDOWS\System32\rs32net.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://g.msn.es/0SEESES/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoritos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes -
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de
programa\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
F2 - REG:system.ini:
UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de
programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos
comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de
programa\FlashGet\jccatch.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -
C:\ARCHIV~1\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos
de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta -
{955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos
comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de
programa\google\googletoolbar2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} -
C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de
programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de
programa\FlashGet\getflash.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} -
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web
Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de
programa\google\googletoolbar2.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -
C:\ARCHIV~1\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes -
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de
programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album
Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de
programa\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [avast!] "C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader
8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Administrador\svchost.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Archivos de programa\HDD Thermometer\HDD
Thermometer.exe
O4 - HKCU\..\Run: [Window Washer] C:\Archivos de programa\Webroot\Washer\wwDisp.exe
/startup
O4 - HKCU\..\Run: [Rainlendar2] C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Administrador\svchost.exe
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\RunOnce: [Index Washer] C:\Archivos de programa\Webroot\Washer\WashIdx.exe
"Administrador"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO
LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de
red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe (User
'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User
'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default
user')
O4 - Startup: userinit.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de
programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de
programa\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de
programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\Microsoft
Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\ARCHIV~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} -
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de
programa\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos
de programa\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
(file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation
Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?120
8315495953
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?12
12041217906
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de
programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos
comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de
programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de
programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil
Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil
Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de
programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos
de programa\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de
programa\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH -
C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Archivos de
programa\Webroot\Washer\WasherSvc.exe
End of file - 11230 bytes
les agradezco al atención prestada con múltiples agradecimientos
saludos
Comentarios adicionales: No había instalado ningún programa, ni cambiado nada de hardware en el PC. | |
|
|
| swissman |  |
|
Re: Fastidioso win32: protector-B (rtk) (solucionado) - 2008-12-19 20:46 - Respuesta 2
busca y borra lo siguiente (habilita la opcion de ver archivos y carpetas ocultos). si alguno no se deja usa killbox o unlocker, o ambos
C:\Documents and Settings\Administrador\svchost.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\system32\drivers\ntndis.exe
pasa ccleaner, para limpiar los temporales y cokies y registro, y regclener
pasa un antivirus online en modo seguro, y lo que sigue
descarga y actualiza los siguientes programas y los vas pasando uno a uno, un par de veces cada uno:
Malwarebytes' Anti-Malware 1.3
Regcleaner
Spybot
cwshredder.exe
ad-aware
SUPERAntiSpyware
Ccleaner (limpiar temporales y registro)
vuelve a pegar el log, pero pegalo tal y como aparece, sin espacios | |
|
|
| rinosemberg | |
|
Re: Fastidioso win32: protector-B (rtk) (solucionado) - 2008-12-24 16:21 - Respuesta 3
Hola amigos(as): realice lo que me dijeron y salio lo siguiente:
1. unlocker y killbox:
se elimino svchost.exe, pero cada vez que se reinicia un programa vuelve a salir. despues de varios intentos parece que no esta.
se elimino rs32net.exe y ntndis.exe, pero cada vez que se reinicia el compu, aparece un aviso que indica que este tiene un error en el sistema por los anteriores archivos.
2. ccleaner
realice la limpieza, el registro y supuestamente se elimino todo.
3. malwarebytes' anti-malware 1.3
* procesos en memoria infectados: (no se han detectado elementos maliciosos)
* módulos en memoria infectados: (no se han detectado elementos maliciosos)
* claves del registro infectadas:
hkey_local_machine\software\videoegg (adware.videoegg) -> no action taken.
hkey_local_machine\software\mozillaplugins\@videoegg.com/publisher,version=1.5 (adware.videoegg) -> no action taken.
hkey_current_user\software\videoegg (adware.videoegg) -> no action taken.
hkey_current_user\software\mozillaplugins\@videoegg.com/publisher,version=1.5 (adware.videoegg) -> no action taken.
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\notify\crypt (trojan.downloader) -> no action taken.
* valores del registro infectados:
hkey_local_machine\software\microsoft\windows\currentversion\run\[system] (trojan.agent) -> no action taken.
hkey_local_machine\software\microsoft\windows\currentversion\run\rs32net (trojan.agent) -> no action taken.
hkey_current_user\software\microsoft\windows\currentversion\run\rs32net (trojan.agent) -> no action taken.
hkey_current_user\software\microsoft\windows\currentversion\run\winlogon (trojan.agent) -> no action taken.
hkey_local_machine\software\microsoft\windows\currentversion\run\winlogon (trojan.agent) -> no action taken.
hkey_current_user\software\microsoft\internet explorer\new windows\allow\mysearchnow.com (malware.trace) -> no action taken.
hkey_current_user\software\microsoft\internet explorer\new windows\allow\www.mysearchnow.com (malware.trace) -> no action taken.
* elementos de datos del registro infectados:
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\userinit (trojan.agent) -> data: c:\windows\system32\drivers\services.exe -> no action taken.
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\userinit (trojan.agent) -> data: system32\drivers\services.exe -> no action taken.
hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced\start_showhelp (hijack.startmenu) -> bad: (0) good: (1) -> no action taken.
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\userinit (hijack.userinit) -> bad: (c:\windows\system32\userinit.exe,c:\windows\system32\drivers\services.exe) good: (userinit.exe) -> no action taken.
* carpetas infectadas: (no se han detectado elementos maliciosos)
* ficheros infectados:
c:\documents and settings\administrador\datos de programa\desktopicon\ebayshortcuts.exe (trojan.agent) -> no action taken.
c:\system volume information\_restore{eef743a7-f244-4f52-8ea8-a410a0ea4dd2}\rp139\a0035900.exe (trojan.agent) -> no action taken.
c:\windows\system32\cmdow.exe (malware.tool) -> no action taken.
c:\windows\system32\drivers\services.exe (trojan.agent) -> no action taken.
c:\documents and settings\administrador\svchost.exe (trojan.agent) -> no action taken.
c:\windows\system32\ (trojan.downloader) -> no action taken.
4. avast, panda, dr web, kapersky: se realizo el escaneo y se eliminaron virus, pero quedan residuos del virus win32: trojan.gen (other)
5. spybot y ad-aware, elimino todo lo que tenia.
6. cwshredder.exe. no había problema alguno.
7. Con el ccleaner, el spybot, Malwarebytes' Anti-Malware 1.3, el tuneup utilites 2008
aparece un error en el registro que se elimina por medio de estos programas pero que vuelve a parecer. En pocas palabras, hay problemas con este registro y no dejan borrar las siguientes entradas:
[system]
en la clave "hkey_local_machine\software\microsoft\windows\currentversion\run", el registro contiene la entrada de inicio automático "[system]" que hace referencia al programa "c:\windows\system32\drivers\services.exe" que ya no existe. esta entrada no válida se debe borrar.
rs32net
-
en la clave "hkey_current_user\software\microsoft\windows\currentversion\run", el registro contiene la entrada de inicio automático "rs32net" que hace referencia al programa "c:\windows\system32\rs32net.exe" que ya no existe. esta entrada no válida se debe borrar.
Pregunta: ¿ que debo hacer?
Saludos Y feliz Navidad, Prospero Año Y felicidad A Todos(as) | |
|
|
| rinosemberg | |
|
Re: Fastidioso win32: protector-B (rtk) (solucionado) - 2008-12-24 16:23 - Respuesta 4
hola a todos de nuevo:
se me olvidaba pegar el log, después de haber realizado todo lo anterior:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:51 a.m., on 24/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Washer\WasherSvc.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe
C:\Archivos de programa\HDD Thermometer\HDD Thermometer.exe
C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoritos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [avast!] "C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Archivos de programa\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Window Washer] C:\Archivos de programa\Webroot\Washer\wwDisp.exe /startup
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208315495953
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1212041217906
O20 - Winlogon Notify: crypt - C:\WINDOWS\
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Washer\WasherSvc.exe
End of file - 10901 bytes
Gracias y saludos | |
|
|
| rinosemberg | |
|
Re: Fastidioso win32: protector-B (rtk) (solucionado) - 2008-12-24 16:35 - Respuesta 5
Hola
el escaneo avast, encontró esto:
23/12/2008 01:12:22 a.m.
SYSTEM 1152 Sign of "Win32:PureMorph [Cryp]" has been found in "C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\PJWLSNVD\socks1[1].exe" file.
23/12/2008 01:12:38 a.m.
SYSTEM 1152 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\PJWLSNVD\ch[1].exe" file.
23/12/2008 01:12:52 a.m.
SYSTEM 1152 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\TEMP\11.tmp" file.
23/12/2008 01:12:57 a.m.
SYSTEM 1152 Sign of "Win32:PureMorph [Cryp]" has been found in "C:\WINDOWS\TEMP\F.tmp" file.
23/12/2008 01:33:26 a.m. Administrador 3208 Sign of "Win32:Trojan-gen {Other}" has been found in "c:\documents and settings\administrador\menú inicio\programas\inicio\userinit.exe" file.
23/12/2008 01:33:43 a.m. Administrador 3208 Sign of "Win32:Trojan-gen {Other}" has been found in "c:\documents and settings\administrador\svchost.exe" file.
23/12/2008 01:33:57 a.m. Administrador 3208 Sign of "Win32:Trojan-gen {Other}" has been found in "c:\windows\system32\drivers\services.exe" file.
23/12/2008 01:20:32 p.m. Administrador 3968 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\PJWLSNVD\ch[1].exe" file.
23/12/2008 01:57:54 p.m. Administrador 3968 Sign of "Win32:PureMorph [Cryp]" has been found in "C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\PJWLSNVD\socks1[1].exe" file.
23/12/2008 02:01:24 p.m. Administrador 3968 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\userinit.exe" file.
23/12/2008 02:11:27 p.m. SYSTEM 1136 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Administrador\svchost.exe" file.
23/12/2008 02:35:38 p.m. SYSTEM 1136 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\drivers\services.exe" file.
23/12/2008 06:58:38 p.m. Administrador 3968 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{EEF743A7-F244-4F52-8EA8-A410A0EA4DD2}\RP139\A0037268.exe" file.
23/12/2008 07:17:33 p.m. Administrador 3968 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{EEF743A7-F244-4F52-8EA8-A410A0EA4DD2}\RP139\A0037269.exe" file.
ok. espero que sirva. | |
|
|
|
