Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
PortadaForo AyudaTutoriales
InicioForosForo Virus

Fastidioso win32: protector-B (rtk) (solucionado)

rinosemberg
2008-12-19 16:22 - Respuestas: 16 - Tema nº: 2561762


Características: Windows XP Profesional DD 80 gb, celeron de 2.66 GHz, 504 MB Ram.

Buenas tardes:

Saludos.

Tengo un problema con el antivirus (Avast) me ha aparece una ventana que estoy siendo atacado por un virus troyano - software prejudicial - y me dice que lo mejor es mandar al baul (chest) y cuando doy clic en el me sale encima de la barra de inicio otra barra en tonos amarillo con la misma alerta. después de realizar lo anterior varias veces sale un aviso de email o de avisos lleno, me sale otro mensaje que dice se ha encontrado material sospechoso y de nuevo sigue saliendo la alerta.

es muy desesperante y lo que hago es desconectar el cable de red y se intenta arreglar. Pasa cada ratico que puedo hacer????

realice lo siguiente según características del problema:

* inicie el compu a prueba de errores, con la tecla F8
*Realice escaneo del compu con el avast y el dr web (elimino dos virus supuestamente)
* realice desfragmentación del disco (por que esta muy lento mi pc)
* reinicie y aplique el Lavasoft Ad-Aware (elimino 3 sospechosos)
* aplique el windows washer (limpiar temporales, basura, historiales., etc)
* aplique el TuneUp Utilities 2008 (mejorar el sistema)

después de todo esto, aumentaron las alarmas, que paso??????

aqui dejo lo siguiente, porque se que lo necesitan para estudiar mi pc

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:14:53 a.m., on 19/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Documents and Settings\Administrador\svchost.exe
C:\Archivos de programa\HDD Thermometer\HDD Thermometer.exe
C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\services.exe
C:\Documents and Settings\Administrador\svchost.exe
C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\userinit.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device

Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Washer\WasherSvc.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\TEMP\AC28.tmp
C:\WINDOWS\System32\rs32net.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://g.msn.es/0SEESES/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoritos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes -

{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de

programa\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
F2 - REG:system.ini:

UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de

programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos

comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de

programa\FlashGet\jccatch.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -

C:\ARCHIV~1\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos

de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta -

{955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos

comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de

programa\google\googletoolbar2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} -

C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de

programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de

programa\FlashGet\getflash.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} -

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web

Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de

programa\google\googletoolbar2.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -

C:\ARCHIV~1\MegauploadToolbar\megauploadtoolbar.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes -

{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de

programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album

Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de

programa\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [avast!] "C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader

8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\Run: [winlogon] C:\Documents and Settings\Administrador\svchost.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Archivos de programa\HDD Thermometer\HDD

Thermometer.exe
O4 - HKCU\..\Run: [Window Washer] C:\Archivos de programa\Webroot\Washer\wwDisp.exe

/startup
O4 - HKCU\..\Run: [Rainlendar2] C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\Administrador\svchost.exe
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\RunOnce: [Index Washer] C:\Archivos de programa\Webroot\Washer\WashIdx.exe

"Administrador"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO

LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de

red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe (User

'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User

'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default

user')
O4 - Startup: userinit.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de

programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de

programa\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de

programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\Microsoft

Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\ARCHIV~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} -

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de

programa\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos

de programa\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

(file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation

Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?120

8315495953
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?12

12041217906
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de

programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos

comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de

programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de

programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil

Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil

Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de

programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos

de programa\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de

programa\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH -

C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Archivos de

programa\Webroot\Washer\WasherSvc.exe


End of file - 11230 bytes

les agradezco al atención prestada con múltiples agradecimientos

saludos

Comentarios adicionales: No había instalado ningún programa, ni cambiado nada de hardware en el PC.
Posibles soluciones:
Fastidioso win32: protector-b (rtk)  (solucionado)Fastidioso win32: protector-b (rtk) (solucionado)
Virusen memoria operativa win32/adware.virtumonde ap (solucionado) (solucionado)Virusen memoria operativa win32/adware.virtumonde ap (solucionado) (solucionado)
Win32.bagle.svi (solucionado)Win32.bagle.svi (solucionado)
El troyano win32/bho.agz (solucionado)El troyano win32/bho.agz (solucionado)
Error de win32 =s (solucionado)Error de win32 =s (solucionado)
swissman

Re: Fastidioso win32: protector-B (rtk) (solucionado) - 2008-12-19 20:46 - Respuesta 2

busca y borra lo siguiente (habilita la opcion de ver archivos y carpetas ocultos). si alguno no se deja usa killbox o unlocker, o ambos

C:\Documents and Settings\Administrador\svchost.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\system32\drivers\ntndis.exe


pasa ccleaner, para limpiar los temporales y cokies y registro, y regclener
pasa un antivirus online en modo seguro, y lo que sigue

descarga y actualiza los siguientes programas y los vas pasando uno a uno, un par de veces cada uno:
Malwarebytes' Anti-Malware 1.3
Regcleaner
Spybot
cwshredder.exe
ad-aware
SUPERAntiSpyware
Ccleaner (limpiar temporales y registro)
vuelve a pegar el log, pero pegalo tal y como aparece, sin espacios
rinosemberg

Re: Fastidioso win32: protector-B (rtk) (solucionado) - 2008-12-24 16:21 - Respuesta 3

Hola amigos(as): realice lo que me dijeron y salio lo siguiente:

1. unlocker y killbox:

se elimino svchost.exe, pero cada vez que se reinicia un programa vuelve a salir. despues de varios intentos parece que no esta.

se elimino rs32net.exe y ntndis.exe, pero cada vez que se reinicia el compu, aparece un aviso que indica que este tiene un error en el sistema por los anteriores archivos.

2. ccleaner

realice la limpieza, el registro y supuestamente se elimino todo.

3. malwarebytes' anti-malware 1.3

* procesos en memoria infectados: (no se han detectado elementos maliciosos)

* módulos en memoria infectados: (no se han detectado elementos maliciosos)

* claves del registro infectadas:

hkey_local_machine\software\videoegg (adware.videoegg) -> no action taken.
hkey_local_machine\software\mozillaplugins\@videoegg.com/publisher,version=1.5 (adware.videoegg) -> no action taken.
hkey_current_user\software\videoegg (adware.videoegg) -> no action taken.
hkey_current_user\software\mozillaplugins\@videoegg.com/publisher,version=1.5 (adware.videoegg) -> no action taken.
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\notify\crypt (trojan.downloader) -> no action taken.

* valores del registro infectados:

hkey_local_machine\software\microsoft\windows\currentversion\run\[system] (trojan.agent) -> no action taken.
hkey_local_machine\software\microsoft\windows\currentversion\run\rs32net (trojan.agent) -> no action taken.
hkey_current_user\software\microsoft\windows\currentversion\run\rs32net (trojan.agent) -> no action taken.
hkey_current_user\software\microsoft\windows\currentversion\run\winlogon (trojan.agent) -> no action taken.
hkey_local_machine\software\microsoft\windows\currentversion\run\winlogon (trojan.agent) -> no action taken.
hkey_current_user\software\microsoft\internet explorer\new windows\allow\mysearchnow.com (malware.trace) -> no action taken.
hkey_current_user\software\microsoft\internet explorer\new windows\allow\www.mysearchnow.com (malware.trace) -> no action taken.

* elementos de datos del registro infectados:

hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\userinit (trojan.agent) -> data: c:\windows\system32\drivers\services.exe -> no action taken.
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\userinit (trojan.agent) -> data: system32\drivers\services.exe -> no action taken.
hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced\start_showhelp (hijack.startmenu) -> bad: (0) good: (1) -> no action taken.
hkey_local_machine\software\microsoft\windows nt\currentversion\winlogon\userinit (hijack.userinit) -> bad: (c:\windows\system32\userinit.exe,c:\windows\system32\drivers\services.exe) good: (userinit.exe) -> no action taken.

* carpetas infectadas: (no se han detectado elementos maliciosos)

* ficheros infectados:

c:\documents and settings\administrador\datos de programa\desktopicon\ebayshortcuts.exe (trojan.agent) -> no action taken.
c:\system volume information\_restore{eef743a7-f244-4f52-8ea8-a410a0ea4dd2}\rp139\a0035900.exe (trojan.agent) -> no action taken.
c:\windows\system32\cmdow.exe (malware.tool) -> no action taken.
c:\windows\system32\drivers\services.exe (trojan.agent) -> no action taken.
c:\documents and settings\administrador\svchost.exe (trojan.agent) -> no action taken.
c:\windows\system32\ (trojan.downloader) -> no action taken.

4. avast, panda, dr web, kapersky: se realizo el escaneo y se eliminaron virus, pero quedan residuos del virus win32: trojan.gen (other)

5. spybot y ad-aware, elimino todo lo que tenia.

6. cwshredder.exe. no había problema alguno.


7. Con el ccleaner, el spybot, Malwarebytes' Anti-Malware 1.3, el tuneup utilites 2008

aparece un error en el registro que se elimina por medio de estos programas pero que vuelve a parecer. En pocas palabras, hay problemas con este registro y no dejan borrar las siguientes entradas:

[system]

en la clave "hkey_local_machine\software\microsoft\windows\currentversion\run", el registro contiene la entrada de inicio automático "[system]" que hace referencia al programa "c:\windows\system32\drivers\services.exe" que ya no existe. esta entrada no válida se debe borrar.

rs32net
-
en la clave "hkey_current_user\software\microsoft\windows\currentversion\run", el registro contiene la entrada de inicio automático "rs32net" que hace referencia al programa "c:\windows\system32\rs32net.exe" que ya no existe. esta entrada no válida se debe borrar.

Pregunta: ¿ que debo hacer?

Saludos Y feliz Navidad, Prospero Año Y felicidad A Todos(as)
rinosemberg

Re: Fastidioso win32: protector-B (rtk) (solucionado) - 2008-12-24 16:23 - Respuesta 4

hola a todos de nuevo:

se me olvidaba pegar el log, después de haber realizado todo lo anterior:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:51 a.m., on 24/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Washer\WasherSvc.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe
C:\Archivos de programa\HDD Thermometer\HDD Thermometer.exe
C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoritos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [avast!] "C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Archivos de programa\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Window Washer] C:\Archivos de programa\Webroot\Washer\wwDisp.exe /startup
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208315495953
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1212041217906
O20 - Winlogon Notify: crypt - C:\WINDOWS\
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Washer\WasherSvc.exe


End of file - 10901 bytes

Gracias y saludos
rinosemberg

Re: Fastidioso win32: protector-B (rtk) (solucionado) - 2008-12-24 16:35 - Respuesta 5

Hola

el escaneo avast, encontró esto:

23/12/2008 01:12:22 a.m.
SYSTEM 1152 Sign of "Win32:PureMorph [Cryp]" has been found in "C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\PJWLSNVD\socks1[1].exe" file.

23/12/2008 01:12:38 a.m.
SYSTEM 1152 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\PJWLSNVD\ch[1].exe" file.

23/12/2008 01:12:52 a.m.
SYSTEM 1152 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\TEMP\11.tmp" file.

23/12/2008 01:12:57 a.m.
SYSTEM 1152 Sign of "Win32:PureMorph [Cryp]" has been found in "C:\WINDOWS\TEMP\F.tmp" file.

23/12/2008 01:33:26 a.m. Administrador 3208 Sign of "Win32:Trojan-gen {Other}" has been found in "c:\documents and settings\administrador\menú inicio\programas\inicio\userinit.exe" file.

23/12/2008 01:33:43 a.m. Administrador 3208 Sign of "Win32:Trojan-gen {Other}" has been found in "c:\documents and settings\administrador\svchost.exe" file.

23/12/2008 01:33:57 a.m. Administrador 3208 Sign of "Win32:Trojan-gen {Other}" has been found in "c:\windows\system32\drivers\services.exe" file.

23/12/2008 01:20:32 p.m. Administrador 3968 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\PJWLSNVD\ch[1].exe" file.

23/12/2008 01:57:54 p.m. Administrador 3968 Sign of "Win32:PureMorph [Cryp]" has been found in "C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\PJWLSNVD\socks1[1].exe" file.

23/12/2008 02:01:24 p.m. Administrador 3968 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\userinit.exe" file.

23/12/2008 02:11:27 p.m. SYSTEM 1136 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Documents and Settings\Administrador\svchost.exe" file.

23/12/2008 02:35:38 p.m. SYSTEM 1136 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\drivers\services.exe" file.

23/12/2008 06:58:38 p.m. Administrador 3968 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{EEF743A7-F244-4F52-8EA8-A410A0EA4DD2}\RP139\A0037268.exe" file.

23/12/2008 07:17:33 p.m. Administrador 3968 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{EEF743A7-F244-4F52-8EA8-A410A0EA4DD2}\RP139\A0037269.exe" file.

ok. espero que sirva.
Página:1 Siguiente

Respuestas relacionadas:

Win32/netsky.n (solucionado)Win32/netsky.n (solucionado)Foro
¡qué fastidioso!¡qué fastidioso!Foro
Behaveslike win32 explorerhijack (solucionado)Behaveslike win32 explorerhijack (solucionado)Foro
Troyano win32/agent.nob (solucionado)Troyano win32/agent.nob (solucionado)Foro
Virus win32/chir.b@mm (solucionado)Virus win32/chir.b@mm (solucionado)Foro
No es una aplicacion win32 valida (solucionado)No es una aplicacion win32 valida (solucionado)Foro
Eliminar trojan.win32.bho.agz (solucionado)Eliminar trojan.win32.bho.agz (solucionado)Foro
Virus win32:trojan-gen (solucionado)Virus win32:trojan-gen (solucionado)Foro
No es una aplicacion win32 valida (solucionado)No es una aplicacion win32 valida (solucionado)Foro
Mensaje fastidiosoMensaje fastidiosoForo
InicioSecciones
^ SubirAviso legal
Política Privacidad
Configurarequipos23 Diciembre 2024