| swissman |  |
|
2008-12-24 16:54 - Respuestas: 16 - Tema nº: 2561762
deshabilita restaurar sistema (al final vuelves a habilitarlo)
cierra todos los programas, navegador incluido, ejecuta hijackthis pulsando do a system scan only y marcas las siguientes entradas:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKUS\S-1-5-18\..\Run: [winlogon] C:\Documents and Settings\LocalService\svchost.exe (User 'SYSTEM')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (file missing)
O20 - Winlogon Notify: crypt - C:\WINDOWS\
pulsa fix checked, sin reinciar busca y borra lo siguiente (habilita la opcion de ver archivos y carpetas ocultos). si alguno no se deja usa killbox o unlocker, o ambos
C:\WINDOWS\System32\rs32net.exe
C:\Documents and Settings\LocalService\svchost.exe
C:\WINDOWS\system32\drivers\ntndis.exe
pasa ccleaner, para limpiar los temporales y cokies y registro, y regclener
reinicias y nos dices que tal va, vuelve a pegar el log, habilita restaurar sistema | |
|
|
| rinosemberg |  |
|
Re: Fastidioso win32: protector-B (rtk) (solucionado) - 2008-12-27 01:59 - Respuesta 7
hola a todos(as):
swissman realice lo que me indicaste, y a continuación presento el informe:
la siguiente entrada no fue posible borrarla,
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
resulta que al darle fix checked, intente varias veces borrarla, y nada. despues de pasar el ccleaner en cuanto al registro la detecto y lo corrigio, intente de nuevo HijackThis y de nuevo fix checked, y se borro. pero cada vez que prendo mi compu aparece de nuevo, y se deja borrar pero de nuevo aparece al reiniciar el compu. asi sucesivamente. anexo los dos logs para revisarlo.
C:\WINDOWS\System32\rs32net.exe
No aparece el archivo rs32net.exe en la carpeta C:\WINDOWS\System32\
Habilite carpetas ocultas y deshabilite ocultar archivos protegidos del sistema operativo y no aparece el archivo para eliminarlo
C:\Documents and Settings\LocalService\svchost.exe
Ya no esta
C:\WINDOWS\system32\drivers\ntndis.exe
Ya no esta
Estas entradas se puede borrar????
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe (file missing)
y que pasa con
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
luego esto no era lo que me causaba problemas?????
gracias, saludos
NOTA: antes de reiniciar el compu
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:53:27 p.m., on 26/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe
C:\Archivos de programa\HDD Thermometer\HDD Thermometer.exe
C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Washer\WasherSvc.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoritos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [avast!] "C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Archivos de programa\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Window Washer] C:\Archivos de programa\Webroot\Washer\wwDisp.exe /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208315495953
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1212041217906
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Washer\WasherSvc.exe
End of file - 10086 bytes
NOTA después de reiniciar el compu
ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:41:52 p.m., on 26/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Washer\WasherSvc.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre6\bin\jusched.exe
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe
C:\Archivos de programa\HDD Thermometer\HDD Thermometer.exe
C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoritos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [avast!] "C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [[system]] C:\WINDOWS\system32\drivers\services.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Archivos de programa\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Window Washer] C:\Archivos de programa\Webroot\Washer\wwDisp.exe /startup
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\RunOnce: [Index Washer] C:\Archivos de programa\Webroot\Washer\WashIdx.exe "Administrador"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1208315495953
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1212041217906
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Washer\WasherSvc.exe
End of file - 10368 bytes | |
|
|
| swissman | |
|
Re: Fastidioso win32: protector-B (rtk) (solucionado) - 2008-12-27 07:51 - Respuesta 8
no preguntes tantas cosas de buena mañana, que estoy sin cobertura xD
O4 - HKCU\\..\\Run: [rs32net] C:\\WINDOWS\\System32\\rs32net.exe
deshabilita restaurar sistema y eliminala, tambien haz un escaneo (inicio-buscar) en \"mi pc\" a ver si lo encuentra rs32net.exe en algun otro sitio. (al final de todo habilita otra vez restaurar sistema)
C:\\Documents and Settings\\LocalService\\svchost.exe
C:\\WINDOWS\\system32\\drivers\\ntndis.exe
Ya no esta->BIEN
Estas entradas se puede borrar????
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)> Sí, pero no es mala
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\\Archivos de programa\\CyberLink\\Shared Files\\RichVideo.exe (file missing)>esto forma parte del powerdvd, si ya no lo tienes, sí. A veces el hijackthis da falsos positivos
y que pasa con
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\System32\\svchost.exe>estos son autenticos, deben estar ahí
luego esto no era lo que me causaba problemas?????>pueden causar problemas sin ser virus
Hijackthises:
el primero, aparte del toolbar que no es importante, está limpio, y te refieres a que lo has pasado una vez eliminado lo anterior?
el segundo tiene varias cosas
O4 - HKLM\\..\\Run: [[system]] C:\\WINDOWS\\system32\\drivers\\services.exe
O4 - HKCU\\..\\Run: [rs32net] C:\\WINDOWS\\System32\\rs32net.exe
si te vuelven a salir una vez reiniciado, intentalo en modo seguro y al acabar, aun en modo seguro sin reiniciar, pasa el antivirus y antiespias, y borras temporales y vacias papelera, y limpias el registro, haz un par de pasadas, y luego lo mismo en modo normal, a ver que tal.
http://support.microsoft.com/kb/314056/es
en este link tienes informacion del svchost.. No lo confundas con ficheros como svchosts, svvchost o similares, que SÍ son virus que se "camuflan" con su nombre parecido
-
[Mensaje editado por swissman con fecha: 27-12-2008 07:55:40]. | |
|
|
| rinosemberg | |
|
Re: Fastidioso win32: protector-B (rtk) (solucionado) - 2008-12-28 18:14 - Respuesta 9
Hola swissman:
perdoname por preguntar tanto y lo lamento por tu cobertura !!!!! jajajaja
Voy a realizar lo que me pediste y después presento mi informe. sin embargo instale un programa llamado Trojan Remover, pues supuse que tengo el virus svchost, o similares y por supuesto me gustaría, si pudieras revisar el log que presento el programa.
gracias.
***** THE SYSTEM HAS BEEN RESTARTED *****
26/12/2008 09:57:23 p.m.: Trojan Remover has been restarted
Trojan Remover forced a System Restart by terminating WINLOGON.EXE.
The Cleanup Utility was used to remove locked registry keys.
Unable to rename C:\WINDOWS\system32\drivers\services.exe to C:\WINDOWS\system32\drivers\services.exe.vir
(C:\WINDOWS\system32\drivers\services.exe does not appear to exist)
26/12/2008 09:57:23 p.m.: Trojan Remover closed
************************************************************
***** NORMAL SCAN FOR ACTIVE MALWARE *****
Trojan Remover Ver 6.7.5.2558. For information, email support@simplysup1.com
[Unregistered version]
Scan started at: 09:54:03 p.m. 26 Dic 2008
Using Database v7241
Operating System: Windows XP SP2 [Windows XP Professional Service Pack 2 (Build 2600)]
File System: NTFS
Data directory: C:\Documents and Settings\Administrador\Datos de programa\Simply Super Software\Trojan Remover\
Database directory: C:\Archivos de programa\Trojan Remover\
Logfile directory: C:\Documents and Settings\Administrador\Mis documentos\Simply Super Software\Trojan Remover Logfiles\
Program directory: C:\Archivos de programa\Trojan Remover\
Running with Administrator privileges
************************************************************
The following Anti-Malware program(s) are loaded:
Avast! Antivirus
************************************************************
Could not find the WIN.INI file in C:\WINDOWS
************************************************************
09:54:04 p.m.: Scanning SYSTEM.INI-
SYSTEM.INI found in C:\WINDOWS
************************************************************
09:54:04 p.m.: - SCANNING FOR ROOTKIT SERVICES -
No hidden Services were detected.
************************************************************
09:54:06 p.m.: Scanning -WINDOWS REGISTRY-
Checking HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
Checking HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon
This key's "Shell" value calls the following program(s):
File: explorer.exe
C:\WINDOWS\explorer.exe
1107972 bytes
Created: 19/08/2004
Modified: 23/12/2008
Company: Microsoft Corporation
This key's "Userinit" value calls the following program(s):
File: C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\userinit.exe
25088 bytes
Created: 19/08/2004
Modified: 19/08/2004
Company: Microsoft Corporation
File: C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\system32\drivers\services.exe - process is either not running or could not be terminated
C:\WINDOWS\system32\drivers\services.exe - unable to take ownership/change permissions
C:\WINDOWS\system32\drivers\services.exe - marked for renaming when the PC is restarted (if it exists)
This key's "System" value appears to be blank
This key's "UIHost" value calls the following program:
File: C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\logonui.exe
2700800 bytes
Created: 05/09/2004
Modified: 05/09/2004
Company:
Checking HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Checking HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Value Name: load
Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value Name: NeroFilterCheck
Value Data: C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\NeroCheck.exe
155648 bytes
Created: 09/07/2001
Modified: 09/07/2001
Company: Ahead Software Gmbh
Value Name: Cmaudio
Value Data: RunDll32 cmicnfg.cpl,CMICtrlWnd
cmicnfg.cpl [file not found to scan]
Value Name: igfxtray
Value Data: C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxtray.exe
-R- 94208 bytes
Created: 21/03/2007
Modified: 19/09/2005
Company: Intel Corporation
Value Name: igfxhkcmd
Value Data: C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\hkcmd.exe
-R- 77824 bytes
Created: 21/03/2007
Modified: 19/09/2005
Company: Intel Corporation
Value Name: igfxpers
Value Data: C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxpers.exe
-R- 114688 bytes
Created: 21/03/2007
Modified: 19/09/2005
Company: Intel Corporation
Value Name: PCTVOICE
Value Data: pctspk.exe
C:\WINDOWS\system32\pctspk.exe
180224 bytes
Created: 21/03/2007
Modified: 29/01/2004
Company: Conexant Systems, Inc.
Value Name: KernelFaultCheck
Value Data: %systemroot%\system32\dumprep 0 -k
C:\WINDOWS\system32\dumprep.exe
10752 bytes
Created: 19/08/2004
Modified: 19/08/2004
Company: Microsoft Corporation
Value Name: {0228e555-4f9c-4e35-a3ec-b109a192b4c2}
Value Data: C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
479232 bytes
Created: 15/07/2005
Modified: 15/07/2005
Company: Google Inc.
Value Name: avast!
Value Data: "C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe"
C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe
81000 bytes
Created: 22/12/2008
Modified: 26/11/2008
Company: ALWIL Software
Value Name: Adobe Reader Speed Launcher
Value Data: "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe
39792 bytes
Created: 15/10/2008
Modified: 15/10/2008
Company: Adobe Systems Incorporated
Value Name: SunJavaUpdateSched
Value Data: "C:\Archivos de programa\Java\jre6\bin\jusched.exe"
C:\Archivos de programa\Java\jre6\bin\jusched.exe
136600 bytes
Created: 26/11/2008
Modified: 10/11/2008
Company: Sun Microsystems, Inc.
Value Name: UnlockerAssistant
Value Data: "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe
15872 bytes
Created: 01/05/2008
Modified: 01/05/2008
Company: [no info]
Value Name: Adobe Photo Downloader
Value Data: "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
57344 bytes
Created: 14/07/2005
Modified: 14/07/2005
Company: Adobe Systems Incorporated
Value Name: [system]
Value Data: C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\system32\drivers\services.exe [file not found to scan]
Value Name: TrojanScanner
Value Data: C:\Archivos de programa\Trojan Remover\Trjscan.exe /boot
C:\Archivos de programa\Trojan Remover\Trjscan.exe
1230728 bytes
Created: 26/12/2008
Modified: 10/12/2008
Company: Simply Super Software
Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
This Registry Key appears to be empty
Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
This Registry Key appears to be empty
Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
This Registry Key appears to be empty
Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
This Registry Key appears to be empty
Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Value Name: RSD_HDDThermo
Value Data: C:\Archivos de programa\HDD Thermometer\HDD Thermometer.exe
C:\Archivos de programa\HDD Thermometer\HDD Thermometer.exe
-R- 104960 bytes
Created: 09/04/2004
Modified: 09/04/2004
Company: [no info]
Value Name: Rainlendar2
Value Data: C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
C:\Archivos de programa\Rainlendar2\Rainlendar2.exe
4067328 bytes
Created: 24/08/2008
Modified: 24/08/2008
Company:
Value Name: ctfmon.exe
Value Data: C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe
15360 bytes
Created: 19/08/2004
Modified: 19/08/2004
Company: Microsoft Corporation
Value Name: SpybotSD TeaTimer
Value Data: C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe - this entry is globally excluded
Value Name: Window Washer
Value Data: C:\Archivos de programa\Webroot\Washer\wwDisp.exe /startup
C:\Archivos de programa\Webroot\Washer\wwDisp.exe
1206600 bytes
Created: 25/10/2007
Modified: 03/10/2007
Company: Webroot Software, Inc.
Checking HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Value Name: Index Washer
Value Data: C:\Archivos de programa\Webroot\Washer\WashIdx.exe "Administrador"
C:\Archivos de programa\Webroot\Washer\WashIdx.exe
55624 bytes
Created: 25/10/2007
Modified: 03/10/2007
Company: Webroot Software, Inc.
Checking HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
This Registry Key appears to be empty
Checking HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
This Registry Key appears to be empty
************************************************************
09:54:22 p.m.: Scanning -SHELLEXECUTEHOOKS-
ValueName: {AEB6717E-7E19-11d0-97EE-00C04FD91972}
File: shell32.dll - this file is expected and has been left in place
************************************************************
09:54:22 p.m.: Scanning -HIDDEN REGISTRY ENTRIES-
Taskdir check completed
No Hidden File-loading Registry Entries found
************************************************************
09:54:22 p.m.: Scanning -ACTIVE SCREENSAVER-
ScreenSaver: C:\WINDOWS\system32\logon.scr
C:\WINDOWS\system32\logon.scr
220672 bytes
Created: 19/08/2004
Modified: 19/08/2004
Company: Microsoft Corporation
************************************************************
09:54:22 p.m.: Scanning - REGISTRY ACTIVE SETUP KEYS -
Key: {22d6f312-b0f6-11d0-94ab-0080c74c7e95}
Path: rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\mswmp.inf,PerUserStub
C:\WINDOWS\INF\mswmp.inf
51286 bytes
Created: 09/05/2007
Modified: 21/06/2007
Company: [no info]
Key: {28ABC5C0-4FCB-11CF-AAX5-21CX3C643131}
Path: C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\sys.exe
C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\sys.exe [file not found to scan]
Key: {44BBA840-CC51-11CF-AAFA-00AA00B6015C}
Path: "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
C:\Archivos de programa\Outlook Express\setup50.exe
73728 bytes
Created: 20/03/2007
Modified: 19/08/2004
Company: Microsoft Corporation
Key: {6BF52A52-394A-11d3-B153-00C04F79FAA6}
Path: rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub
C:\WINDOWS\INF\wmp10.inf
34751 bytes
Created: 20/03/2007
Modified: 11/08/2004
Company: [no info]
Key: {7790769C-0471-11d2-AF11-00C04FA35D02}
Path: "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
C:\Archivos de programa\Outlook Express\setup50.exe
73728 bytes
Created: 20/03/2007
Modified: 19/08/2004
Company: Microsoft Corporation
************************************************************
09:54:24 p.m.: Scanning - SERVICEDLL REGISTRY KEYS -
Key: HidServ
%SystemRoot%\System32\hidserv.dll - file is globally excluded (file cannot be found)
Key: UxTuneUp
Path: %SystemRoot%\System32\uxtuneup.dll
C:\WINDOWS\System32\uxtuneup.dll
28416 bytes
Created: 27/05/2008
Modified: 29/05/2008
Company: TuneUp Software GmbH
Key: wuauserv
Path: C:\WINDOWS\system32\wuauserv.dll
C:\WINDOWS\system32\wuauserv.dll [file not found to scan]
************************************************************
09:54:25 p.m.: Scanning - SERVICES REGISTRY KEYS -
Key: aawservice
ImagePath: "C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe"
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
611664 bytes
Created: 12/05/2008
Modified: 12/05/2008
Company: Lavasoft
Key: Apple Mobile Device
ImagePath: "C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
110592 bytes
Created: 18/02/2008
Modified: 18/02/2008
Company: Apple, Inc.
Key: AresChatServer
ImagePath: C:\Archivos de programa\Ares\chatServer.exe
C:\Archivos de programa\Ares\chatServer.exe
263168 bytes
Created: 18/02/2007
Modified: 18/02/2007
Company: Ares Development Group
Key: Aspi32
ImagePath: System32\drivers\aspi32.sys
C:\WINDOWS\System32\drivers\aspi32.sys
16512 bytes
Created: 09/05/2007
Modified: 21/11/2005
Company: Adaptec
Key: aswFsBlk
ImagePath: system32\DRIVERS\aswFsBlk.sys
C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys
20560 bytes
Created: 15/04/2008
Modified: 26/11/2008
Company: ALWIL Software
Key: aswUpdSv
ImagePath: "C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe"
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
18752 bytes
Created: 22/12/2008
Modified: 26/11/2008
Company: ALWIL Software
Key: ati0sxxx
ImagePath: System32\Drivers\ati0sxxx.sys
C:\WINDOWS\System32\Drivers\ati0sxxx.sys [file not found to scan]
Key: ati1kaxx
ImagePath: System32\Drivers\ati1kaxx.sys
C:\WINDOWS\System32\Drivers\ati1kaxx.sys [file not found to scan]
Key: ati1lpxx
ImagePath: System32\Drivers\ati1lpxx.sys
C:\WINDOWS\System32\Drivers\ati1lpxx.sys [file not found to scan]
Key: ati1uaxx
ImagePath: System32\Drivers\ati1uaxx.sys
C:\WINDOWS\System32\Drivers\ati1uaxx.sys [file not found to scan]
Key: ati1vaxx
ImagePath: System32\Drivers\ati1vaxx.sys
C:\WINDOWS\System32\Drivers\ati1vaxx.sys [file not found to scan]
Key: ati2afxx
ImagePath: System32\Drivers\ati2afxx.sys
C:\WINDOWS\System32\Drivers\ati2afxx.sys [file not found to scan]
Key: ati2vbxx
ImagePath: System32\Drivers\ati2vbxx.sys
C:\WINDOWS\System32\Drivers\ati2vbxx.sys [file not found to scan]
Key: ati3bgxx
ImagePath: System32\Drivers\ati3bgxx.sys
C:\WINDOWS\System32\Drivers\ati3bgxx.sys [file not found to scan]
Key: ati3rwxx
ImagePath: System32\Drivers\ati3rwxx.sys
C:\WINDOWS\System32\Drivers\ati3rwxx.sys [file not found to scan]
Key: ati3wcxx
ImagePath: System32\Drivers\ati3wcxx.sys
C:\WINDOWS\System32\Drivers\ati3wcxx.sys [file not found to scan]
Key: ati4chxx
ImagePath: System32\Drivers\ati4chxx.sys
C:\WINDOWS\System32\Drivers\ati4chxx.sys [file not found to scan]
Key: ati5eixx
ImagePath: System32\Drivers\ati5eixx.sys
C:\WINDOWS\System32\Drivers\ati5eixx.sys [file not found to scan]
Key: ati6fkxx
ImagePath: System32\Drivers\ati6fkxx.sys
C:\WINDOWS\System32\Drivers\ati6fkxx.sys [file not found to scan]
Key: ati6otxx
ImagePath: System32\Drivers\ati6otxx.sys
C:\WINDOWS\System32\Drivers\ati6otxx.sys [file not found to scan]
Key: ati6xdxx
ImagePath: System32\Drivers\ati6xdxx.sys
C:\WINDOWS\System32\Drivers\ati6xdxx.sys [file not found to scan]
Key: ati7cgxx
ImagePath: System32\Drivers\ati7cgxx.sys
C:\WINDOWS\System32\Drivers\ati7cgxx.sys [file not found to scan]
Key: ati7hmxx
ImagePath: System32\Drivers\ati7hmxx.sys
C:\WINDOWS\System32\Drivers\ati7hmxx.sys [file not found to scan]
Key: ati7ptxx
ImagePath: System32\Drivers\ati7ptxx.sys
C:\WINDOWS\System32\Drivers\ati7ptxx.sys [file not found to scan]
Key: ati8bgxx
ImagePath: System32\Drivers\ati8bgxx.sys
C:\WINDOWS\System32\Drivers\ati8bgxx.sys [file not found to scan]
Key: ati8dixx
ImagePath: System32\Drivers\ati8dixx.sys
C:\WINDOWS\System32\Drivers\ati8dixx.sys [file not found to scan]
Key: avast! Antivirus
ImagePath: "C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe"
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
155160 bytes
Created: 22/12/2008
Modified: 26/11/2008
Company: ALWIL Software
Key: avast! Mail Scanner
ImagePath: "C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
254040 bytes
Created: 22/12/2008
Modified: 26/11/2008
Company: ALWIL Software
Key: avast! Web Scanner
ImagePath: "C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
352920 bytes
Created: 22/12/2008
Modified: 26/11/2008
Company: ALWIL Software
Key: CDRPDACC
ImagePath: \??\C:\Archivos de programa\321Studios\Shared\CDRPDACC.SYS
C:\Archivos de programa\321Studios\Shared\CDRPDACC.SYS [file not found to scan]
Key: cmuda
ImagePath: system32\drivers\cmuda.sys
C:\WINDOWS\system32\drivers\cmuda.sys
-R- 1332544 bytes
Created: 21/03/2007
Modified: 12/05/2005
Company: C-Media Inc
Key: dmadmin
ImagePath: %SystemRoot%\System32\dmadmin.exe /com
C:\WINDOWS\System32\dmadmin.exe
225792 bytes
Created: 19/08/2004
Modified: 19/08/2004
Company: Microsoft Corp., VERITAS Software
Key: gusvc
ImagePath: "C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe"
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
138168 bytes
Created: 29/03/2007
Modified: 29/03/2007
Company: Google
Key: ialm
ImagePath: system32\DRIVERS\ialmnt5.sys
C:\WINDOWS\system32\DRIVERS\ialmnt5.sys
-R- 1302332 bytes
Created: 21/03/2007
Modified: 19/09/2005
Company: Intel Corporation
Key: Iviaspi
ImagePath: system32\drivers\iviaspi.sys
C:\WINDOWS\system32\drivers\iviaspi.sys
10368 bytes
Created: 26/06/2007
Modified: 20/09/2005
Company: InterVideo, Inc.
Key: iviVD
ImagePath: system32\DRIVERS\iviVD.sys
C:\WINDOWS\system32\DRIVERS\iviVD.sys
45056 bytes
Created: 26/06/2007
Modified: 16/11/2005
Company: InterVideo
Key: JavaQuickStarterService
ImagePath: "C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf"
C:\Archivos de programa\Java\jre6\bin\jqs.exe
152984 bytes
Created: 26/11/2008
Modified: 10/11/2008
Company: Sun Microsystems, Inc.
Key: ose
ImagePath: "C:\Archivos de programa\Archivos comunes\Microsoft Shared\Source Engine\OSE.EXE"
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Source Engine\OSE.EXE
89136 bytes
Created: 28/07/2003
Modified: 28/07/2003
Company: Microsoft Corporation
Key: pavboot
ImagePath: system32\drivers\pavboot.sys
C:\WINDOWS\system32\drivers\pavboot.sys
28544 bytes
Created: 22/12/2008
Modified: 19/06/2008
Company: Panda Security, S.L.
Key: Pcouffin
ImagePath: System32\Drivers\Pcouffin.sys
C:\WINDOWS\System32\Drivers\Pcouffin.sys [file not found to scan]
Key: Ptserial
ImagePath: system32\DRIVERS\ptserial.sys
C:\WINDOWS\system32\DRIVERS\ptserial.sys
362639 bytes
Created: 21/03/2007
Modified: 16/12/2004
Company: Conexant Systems, Inc.
Key: RichVideo
ImagePath: "C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe"
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe [file not found to scan]
Key: RTL8023xp
ImagePath: system32\DRIVERS\Rtlnicxp.sys
C:\WINDOWS\system32\DRIVERS\Rtlnicxp.sys
74496 bytes
Created: 21/03/2007
Modified: 03/03/2005
Company: Realtek Semiconductor Corporation
Key: SASDIFSV
ImagePath: \??\C:\Archivos de programa\SUPERAntiSpyware\SASDIFSV.SYS
C:\Archivos de programa\SUPERAntiSpyware\SASDIFSV.SYS [file not found to scan]
Key: SASENUM
ImagePath: \??\C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS
C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS [file not found to scan]
Key: SASKUTIL
ImagePath: \??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.sys
C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.sys [file not found to scan]
Key: Secdrv
ImagePath: system32\DRIVERS\secdrv.sys
C:\WINDOWS\system32\DRIVERS\secdrv.sys
27440 bytes
Created: 17/07/2004
Modified: 17/07/2004
Company: [no info]
Key: SwPrv
ImagePath: C:\WINDOWS\system32\dllhost.exe /Processid:{E8388A30-B818-4BE3-A79C-0D60455C7AFA}
C:\WINDOWS\system32\dllhost.exe
5120 bytes
Created: 19/08/2004
Modified: 19/08/2004
Company: Microsoft Corporation
Key: TuneUp.Defrag
ImagePath: %SystemRoot%\System32\TuneUpDefragService.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
355584 bytes
Created: 27/05/2008
Modified: 03/07/2008
Company: TuneUp Software GmbH
Key: UnlockerDriver5
ImagePath: \??\C:\Archivos de programa\Unlocker\UnlockerDriver5.sys
C:\Archivos de programa\Unlocker\UnlockerDriver5.sys
4096 bytes
Created: 01/05/2008
Modified: 01/05/2008
Company: [no info]
Key: USBAAPL
ImagePath: System32\Drivers\usbaapl.sys
C:\WINDOWS\System32\Drivers\usbaapl.sys
30464 bytes
Created: 04/05/2008
Modified: 18/02/2008
Company: Apple, Inc.
Key: usnjsvc
ImagePath: "C:\Archivos de programa\MSN Messenger\usnsvc.exe"
C:\Archivos de programa\MSN Messenger\usnsvc.exe
97136 bytes
Created: 19/01/2007
Modified: 19/01/2007
Company: Microsoft Corporation
Key: Vmodem
ImagePath: system32\DRIVERS\vmodem.sys
C:\WINDOWS\system32\DRIVERS\vmodem.sys
704025 bytes
Created: 21/03/2007
Modified: 16/12/2004
Company: Conexant Systems, Inc.
Key: Vpctcom
ImagePath: system32\DRIVERS\vpctcom.sys
C:\WINDOWS\system32\DRIVERS\vpctcom.sys
805426 bytes
Created: 21/03/2007
Modified: 16/12/2004
Company: Conexant Systems, Inc.
Key: Vvoice
ImagePath: system32\DRIVERS\vvoice.sys
C:\WINDOWS\system32\DRIVERS\vvoice.sys
70544 bytes
Created: 21/03/2007
Modified: 16/12/2004
Company: Conexant Systems, Inc.
Key: wwEngineSvc
ImagePath: C:\Archivos de programa\Webroot\Washer\WasherSvc.exe
C:\Archivos de programa\Webroot\Washer\WasherSvc.exe
598856 bytes
Created: 25/10/2007
Modified: 03/10/2007
Company: Webroot Software, Inc.
************************************************************
09:54:29 p.m.: Scanning -VXD ENTRIES-
************************************************************
09:54:30 p.m.: Scanning - WINLOGON\NOTIFY DLLS -
Key : igfxcui
DLLName: igfxdev.dll
C:\WINDOWS\system32\igfxdev.dll
-R- 135168 bytes
Created: 21/03/2007
Modified: 19/09/2005
Company: Intel Corporation
************************************************************
09:54:30 p.m.: Scanning - CONTEXTMENUHANDLERS -
Key: avast
CLSID: {472083B0-C522-11CF-8763-00608CC02F24}
Path: C:\Archivos de programa\Alwil Software\Avast4\ashShell.dll
C:\Archivos de programa\Alwil Software\Avast4\ashShell.dll
76880 bytes
Created: 22/12/2008
Modified: 26/11/2008
Company: ALWIL Software
Key: Trojan Remover
CLSID: {52B87208-9CCF-42C9-B88E-069281105805}
Path: C:\ARCHIV~1\Trojan Remover\Trshlex.dll
C:\ARCHIV~1\Trojan Remover\Trshlex.dll
467552 bytes
Created: 26/12/2008
Modified: 05/02/2007
Company: Simply Super Software
Key: TuneUp Shredder Shell Extension
CLSID: {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
Path: C:\ARCHIV~1\TuneUp Utilities 2008\SDShelEx-win32.dll
C:\ARCHIV~1\TuneUp Utilities 2008\SDShelEx-win32.dll
27656 bytes
Created: 04/04/2008
Modified: 04/04/2008
Company: TuneUp Software GmbH
Key: Washer
CLSID: {6EE51AA0-77A0-11D7-B4E1-000347126E46}
Path: C:\ARCHIV~1\ARCHIV~1\Webroot Shared\ShellWash.dll
C:\ARCHIV~1\ARCHIV~1\Webroot Shared\ShellWash.dll
61256 bytes
Created: 07/05/2007
Modified: 03/10/2007
Company: Webroot Software
Key: WinRAR
CLSID: {B41DB860-8EE4-11D2-9906-E49FADC173CA}
Path: C:\Archivos de programa\WinRAR\rarext.dll
C:\Archivos de programa\WinRAR\rarext.dll
128512 bytes
Created: 20/03/2007
Modified: 22/05/2007
Company: [no info]
************************************************************
09:54:31 p.m.: Scanning - FOLDER\COLUMNHANDLERS -
Key: {F9DB5320-233E-11D1-9F84-707F02C10627}
File: C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\PDFShell.dll
C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\PDFShell.dll
372736 bytes
Created: 10/05/2007
Modified: 10/05/2007
Company: Adobe Systems, Inc.
************************************************************
09:54:31 p.m.: Scanning - BROWSER HELPER OBJECTS -
Key: {02478D38-C3F9-4EFB-9B51-7695ECA05670}
BHO: C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
440384 bytes
Created: 13/03/2008
Modified: 26/10/2006
Company: Yahoo! Inc.
Key: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
BHO: C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
62080 bytes
Created: 22/10/2006
Modified: 22/10/2006
Company: Adobe Systems Incorporated
Key: {2F364306-AA45-47B5-9F9D-39A8B94E7EF7}
BHO: C:\Archivos de programa\FlashGet\jccatch.dll
C:\Archivos de programa\FlashGet\jccatch.dll
94308 bytes
Created: 06/08/2007
Modified: 06/08/2007
Company: www.flashget.com
Key: {53707962-6F74-2D53-2644-206D7942484F}
BHO: C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll
C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll - file is excluded from scanning [SPYBOT S&D file]
Key: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
BHO: C:\Archivos de programa\Java\jre6\bin\ssv.dll
C:\Archivos de programa\Java\jre6\bin\ssv.dll
320920 bytes
Created: 26/11/2008
Modified: 10/11/2008
Company: Sun Microsystems, Inc.
Key: {9030D464-4C02-4ABF-8ECC-5164760863C6}
BHO: C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
322368 bytes
Created: 31/08/2006
Modified: 31/08/2006
Company: Microsoft Corporation
Key: {955BE0B8-BC85-4CAF-856E-8E0D8B610560}
BHO: C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
256792 bytes
Created: 12/06/2006
Modified: 12/06/2006
Company: Microsoft Corporation
Key: {AA58ED58-01DD-4d91-8333-CF10577473F7}
BHO: c:\archivos de programa\google\googletoolbar2.dll
c:\archivos de programa\google\googletoolbar2.dll
-R- 2403392 bytes
Created: 29/03/2007
Modified: 19/01/2007
Company: Google Inc.
Key: {DBC80044-A445-435b-BC74-9C25C1C588A9}
BHO: C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
34816 bytes
Created: 26/11/2008
Modified: 10/11/2008
Company: Sun Microsystems, Inc.
Key: {E7E6F031-17CE-4C07-BC86-EABFE594F69C}
BHO: C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
73728 bytes
Created: 26/11/2008
Modified: 10/11/2008
Company: Sun Microsystems, Inc.
Key: {F156768E-81EF-470C-9057-481BA8380DBA}
BHO: C:\Archivos de programa\FlashGet\getflash.dll
C:\Archivos de programa\FlashGet\getflash.dll
163840 bytes
Created: 18/05/2007
Modified: 18/05/2007
Company: www.flashget.com
************************************************************
09:54:33 p.m.: Scanning - SHELLSERVICEOBJECTS -
************************************************************
09:54:33 p.m.: Scanning - SHAREDTASKSCHEDULER ENTRIES -
************************************************************
09:54:33 p.m.: Scanning - IMAGEFILE DEBUGGERS -
No "Debugger" entries found.
************************************************************
09:54:33 p.m.: Scanning - APPINIT_DLLS -
No APPINIT_DLLS value found to check
************************************************************
09:54:33 p.m.: Scanning - SECURITY PROVIDER DLLS -
************************************************************
09:54:33 p.m.: Scanning COMMON STARTUP GROUP
[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]
The Common Startup Group attempts to load the following file(s) at boot time:
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\desktop.ini
-HS- 84 bytes
Created: 20/03/2007
Modified: 20/03/2007
Company: [no info]
C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
303104 bytes
Created: 26/06/2007
Modified: 06/06/2006
Company: InterVideo Inc.
InterVideo WinCinema Manager.lnk - links to C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
************************************************************
No User Startup Groups were located to check
************************************************************
09:54:33 p.m.: Scanning - SCHEDULED TASKS -
No Scheduled Tasks found to scan
************************************************************
09:54:33 p.m.: Scanning - SHELLICONOVERLAYIDENTIFIERS -
************************************************************
09:54:33 p.m.: - ADDITIONAL CHECKS -
PE386 rootkit checks completed
Winlogon registry rootkit checks completed
Heuristic checks for hidden files/drivers completed
Layered Service Provider entries checks completed
Windows Explorer Policies checks completed
Desktop Wallpaper: C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Wallpaper1.bmp
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Wallpaper1.bmp
3952694 bytes
Created: 24/06/2008
Modified: 26/12/2008
Company: [no info]
Web Desktop Wallpaper: %USERPROFILE%\Configuración local\Datos de programa\Microsoft\Wallpaper1.bmp
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Wallpaper1.bmp
3952694 bytes
Created: 24/06/2008
Modified: 26/12/2008
Company: [no info]
Checks for rogue DNS NameServers completed
Additional checks completed
************************************************************
09:54:35 p.m.: Scanning - RUNNING PROCESSES -
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe - file already scanned
C:\WINDOWS\System32\svchost.exe - file already scanned
C:\WINDOWS\system32\svchost.exe - file already scanned
C:\WINDOWS\system32\svchost.exe - file already scanned
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe - file already scanned
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe - file already scanned
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe - file already scanned
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe - file already scanned
C:\Archivos de programa\Java\jre6\bin\jqs.exe - file already scanned
C:\WINDOWS\system32\svchost.exe - file already scanned
C:\Archivos de programa\Webroot\Washer\WasherSvc.exe - file already scanned
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE - file already scanned
C:\WINDOWS\system32\hkcmd.exe - file already scanned
C:\WINDOWS\system32\igfxpers.exe - file already scanned
C:\WINDOWS\system32\pctspk.exe - file already scanned
C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe - file already scanned
C:\Archivos de programa\Java\jre6\bin\jusched.exe - file already scanned
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe - file already scanned
C:\Archivos de programa\HDD Thermometer\HDD Thermometer.exe - file already scanned
C:\Archivos de programa\Rainlendar2\Rainlendar2.exe - file already scanned
C:\WINDOWS\system32\ctfmon.exe - file already scanned
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe - file already scanned
C:\Archivos de programa\MSN Messenger\livecall.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\Documents and Settings\Administrador\Datos de programa\Simply Super Software\Trojan Remover\lis1F.exe
FileSize: 2888568
[This is a Trojan Remover component]
************************************************************
09:54:40 p.m.: Checking AUTOEXEC.BAT file
AUTOEXEC.BAT found in C:\
No malicious entries were found in the AUTOEXEC.BAT file
************************************************************
09:54:40 p.m.: Checking AUTOEXEC.NT file
AUTOEXEC.NT found in C:\WINDOWS\system32
No malicious entries were found in the AUTOEXEC.NT file
************************************************************
09:54:40 p.m.: Checking HOSTS file
No malicious entries were found in the HOSTS file
************************************************************
INTERNET EXPLORER HOME/START/SEARCH SETTINGS
HKLM\Software\Microsoft\Internet Explorer\Main\"Start Page":
http://go.microsoft.com/fwlink/?LinkId=69157
HKLM\Software\Microsoft\Internet Explorer\Main\"Local Page":
%SystemRoot%\system32\blank.htm
HKLM\Software\Microsoft\Internet Explorer\Main\"Search Page":
http://go.microsoft.com/fwlink/?LinkId=54896
HKLM\Software\Microsoft\Internet Explorer\Main\"Default_Page_URL":
http://go.microsoft.com/fwlink/?LinkId=69157
HKLM\Software\Microsoft\Internet Explorer\Main\"Default_Search_URL":
http://go.microsoft.com/fwlink/?LinkId=54896
HKLM\Software\Microsoft\Internet Explorer\Search\"CustomizeSearch":
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
HKLM\Software\Microsoft\Internet Explorer\Search\"SearchAssistant":
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
HKCU\Software\Microsoft\Internet Explorer\Main\"Start Page":
http://www.google.com/
HKCU\Software\Microsoft\Internet Explorer\Main\"Local Page":
C:\WINDOWS\system32\blank.htm
HKCU\Software\Microsoft\Internet Explorer\Main\"Search Page":
http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
************************************************************
=== CHANGES WERE MADE TO THE WINDOWS REGISTRY ===
Scan completed at: 09:54:40 p.m. 26 Dic 2008
Total Scan time: 00:00:36
-
One or more files could not be moved or renamed as requested.
They may be in use by Windows, so Trojan Remover needs
to restart the system in order to deal with these files.
26/12/2008 09:54:48 p.m.: restart commenced
************************************************************
gracias por todo!!!!!
saludos
| |
|
|
| rinosemberg | |
|
Re: Fastidioso win32: protector-B (rtk) (solucionado) - 2008-12-30 06:02 - Respuesta 10
hola:
estoy muy preocupado porque la verdad no esta funcionando, y varios programas indican el mismo problema, pero no sirven para arreglarlo. aqui presento mi informe
ccleaner::::::
* El archivo de Inicio referenciado en: C:\WINDOWS\system32\drivers\services.exe no pudo encontrarse. Estas referencias a menudo son olvidadas después de la desinstalación del programa.
Solución: Borrar el valor del Registro.
* El archivo de Inicio referenciado en: C:\WINDOWS\System32\rs32net.exe no pudo encontrarse. Estas referencias a menudo son olvidadas después de la desinstalación del programa.
Solución: Borrar el valor del Registro.
hay una opción llamada abrir regedit, y da la opción de borra desde ahi, pero al volver a realizar el proceso de nuevo aparece
TuneUp 2008 - TuneUp Registry Cleaner / inicio automatico:::::
[system]
En la clave "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", el registro contiene la entrada de inicio automático "[system]" que hace referencia al programa "C:\WINDOWS\system32\drivers\services.exe" que ya no existe. Esta entrada no válida se debe borrar.
rs32net
-
En la clave "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run", el registro contiene la entrada de inicio automático "rs32net" que hace referencia al programa "C:\WINDOWS\System32\rs32net.exe" que ya no existe. Esta entrada no válida se debe borrar.
hay una opción de saltar a la clave, y se borra desde ahi, pero al volver a realizar el proceso de nuevo aparece
Mantenimiento con 1 clic de TuneUp / comprobación de registro:::::
Archivo .ENT (*.ent)
En la clave "HKEY_CLASSES_ROOT\.ent\shell\open\command" el tipo de archivo hace referencia al programa "raswin.exe %1" que ya no existe.
Archivo .PDB (*.pdb)
En la clave "HKEY_CLASSES_ROOT\.pdb\shell\open\command" el tipo de archivo hace referencia al programa "raswin.exe %1" que ya no existe.
rs32net
-
En la clave "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run", el registro contiene la entrada de inicio automático "rs32net" que hace referencia al programa "C:\WINDOWS\System32\rs32net.exe" que ya no existe. Esta entrada no válida se debe borrar.
[system]
En la clave "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", el registro contiene la entrada de inicio automático "[system]" que hace referencia al programa "C:\WINDOWS\system32\drivers\services.exe" que ya no existe. Esta entrada no válida se debe borrar.
Entrada incompleta "{2CCBABCB-6427-4A55-B091-49864623C43F}"
-
La clave "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{2CCBABCB-6427-4A55-B091-49864623C43F}" no contiene ninguno de los valores que necesita Windows para la desinstalación, por lo que puede borrarse.
hay una opción rsolucionar los probelmas o de saltar a la clave, y se borra desde ahi, pero al volver a realizar el proceso de nuevo aparece
* trojan remover::::::
***** THE SYSTEM HAS BEEN RESTARTED *****
29/12/2008 05:06:57 p.m.: Trojan Remover has been restarted
=
Deleting the following registry value(s):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[Cmaudio] - deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[[system]] - deleted
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[rs32net] - deleted
=
Trojan Remover forced a System Restart by terminating WINLOGON.EXE.
The Cleanup Utility was used to remove locked registry keys.
Unable to rename C:\WINDOWS\system32\drivers\services.exe to C:\WINDOWS\system32\drivers\services.exe.vir
(C:\WINDOWS\system32\drivers\services.exe does not appear to exist)
Unable to rename C:\WINDOWS\System32\rs32net.exe to C:\WINDOWS\System32\rs32net.exe.vir
(C:\WINDOWS\System32\rs32net.exe does not appear to exist)
29/12/2008 05:06:57 p.m.: Trojan Remover closed
************************************************************
***** NORMAL SCAN FOR ACTIVE MALWARE *****
Trojan Remover Ver 6.7.5.2558. For information, email support@simplysup1.com
[Unregistered version]
Scan started at: 05:02:26 p.m. 29 Dic 2008
Using Database v7243
Operating System: Windows XP SP2 [Windows XP Professional Service Pack 2 (Build 2600)]
File System: NTFS
Data directory: C:\Documents and Settings\Administrador\Datos de programa\Simply Super Software\Trojan Remover\
Database directory: C:\Archivos de programa\Trojan Remover\
Logfile directory: C:\Documents and Settings\Administrador\Mis documentos\Simply Super Software\Trojan Remover Logfiles\
Program directory: C:\Archivos de programa\Trojan Remover\
Running with Administrator privileges
[Alerts will be shown on Malware files AND files not found]
************************************************************
The following Anti-Malware program(s) are loaded:
Avast! Antivirus
* Malwarebytes' Anti-Malware 1.31:::::::
Versión de la Base de Datos: 1562
Windows 5.1.2600 Service Pack 2
29/12/2008 08:42:45 p.m.
mbam-log-2008-12-29 (20-42-23).txt
Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 108296
Tiempo transcurrido: 2 hour(s), 28 minute(s), 20 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 4
Valores del Registro Infectados: 2
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 2
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\VideoEgg (Adware.VideoEgg) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@videoegg.com/publisher,version=1.5 (Adware.VideoEgg) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\VideoEgg (Adware.VideoEgg) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MozillaPlugins\@videoegg.com/publisher,version=1.5 (Adware.VideoEgg) -> No action taken.
Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> No action taken.
Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
C:\Documents and Settings\Administrador\Datos de programa\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\CMDOW.EXE.vir (Malware.Tool) -> No action taken.
1) Moderador continua molestando el registro con:
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\System32\rs32net.exe
Entrada incompleta "{2CCBABCB-6427-4A55-B091-49864623C43F}"
2) aparece ahora
Adware.VideoEgg: me meti a registro y los elimine desde ahi, pero no funciono.
Malware.Trace: no lo encontré desde el registro.
Trojan.Agent: no hice nada
Malware.Tool: no hice nada
el cual el Malwarebytes' Anti-Malware 1.31, el lavasoft adware, el Trojan Remove, Spybot - Search & Destroy no pudieron hacer nada.
¡¡¡¡¡¿¿¿¿¿¿ que debo hacer ahora??????!!!!!!!!!!!
sera que lo elimina un programa y el otro los bloquea??????
creo porque cuando hay cambios de registro el Spybot - Search & Destroy aparece con un recuadro que si lo permite o lo bloquea, yo hago bloquear, a veces lo permito, pero sera el culpable??????
gracias por todo, y disculpa la molestia
| |
|
|
|
