| swissman |  |
|
2009-02-14 19:35 - Respuestas: 8 - Tema nº: 2573665
cierra todos los programas, navegador incluido, ejecuta hijackthis pulsando do a system scan only y marcas las siguientes entradas:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.search-exe.com/nph-search.cgi?tcode=exebar1&look=sbar1_srchbtn
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.search-exe.com/nph-search.cgi?tcode=exebar1&look=sbar1_srchbtn
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
todas la O1
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\Run: [Windows Activation Control Center Service] waccs.exe
O4 - HKLM\..\Run: [Msn Messenger] msnmsgs.exe
O4 - HKLM\..\Run: [Barsaka] explorer.exe
O4 - HKLM\..\Run: [Win2x] C:\WINDOWS\SYSTEM32\Win2x.exe
O4 - HKLM\..\RunServices: [Msn Messenger] msnmsgs.exe
O4 - HKLM\..\Policies\Explorer\Run: [Msn Messenger] msnmsgs.exe
pulsa fix checked, sin reinciar busca y borra lo siguiente (habilita la opcion de ver archivos y carpetas ocultos). si alguno no se deja usa killbox o unlocker, o ambos
C:\WINDOWS\SYSTEM32\Win2x.exe
ybusca estos con el buscador, en modo normal y modo seguro
msnmsgs.exe
waccs.exe
msblast.exe
pasa ccleaner, para limpiar los temporales y cokies y registro, y regclener
reinicias y nos dices que tal va, pega el log a ver que tal va | |
|
|
| fox2050 |  |
|
Re: Problemas con restauracion de sistema - 2009-02-15 08:47 - Respuesta 7
Muchas gracias por su ayuda ya que cada vez que me indican hacer algo el sistema va teniendo avances.
Hoy, le di fix checked a las entradas que me indicó; posteriormente con el programa de Argent (que no se si es igual al CCleaner) y usé el Tweak como limpiador de registros y vayan salieron un buen pero además se quedaron 7 desconocidos y 3 que no son totalmente seguros para limpiar.
los archivos: msnmsgs.exe, waccs.exe y msblast.exe no se encontraron aún en archivos ocultos pero recuerdo que en la utiliadad de configuracion de sistema en la pestaña de inicio existe un archivo msnmsgs aunque no se si sea igual.
La ruta es c:\archivos de programa\messenger\msnmsgs.exe\background
El log de hijack es el creo que está mejorando y es el siguiente:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:39:40 a.m., on 15/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Intel\ASF Agent\ASFAgent.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.com/la/la/en/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sonico.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mx.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIV~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.kromidigital.com.mx/digital/system/pedido/ImageUploader5.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-MX/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.kromidigital.com.mx/digital/system/pedido/ImageUploader4.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Archivos de programa\Intel\ASF Agent\ASFAgent.exe
O23 - Service: LEC TranslateDotNet Server - Unknown owner - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
End of file - 5488 bytes
Saludos y mil gracias
PD. De igual manera, me pueden aconsejar si es necesarion eliminar el programa de ARES ya que mis hijos lo usan para bajar canciones y creo que de ahi se infectó la máquina o de lo contrario como bajar la musica sin que me ordenador se infecte nuevamente.
| |
|
|
| swissman | |
|
Re: Problemas con restauracion de sistema - 2009-02-15 08:54 - Respuesta 8
el log no muestra nada malo, y sobre el ares, es la entrada numero uno de virus, aparte de que es ilegal para bajar canciones.
Riesgos de seguridad al utilizar programas P2P
| |
|
|
| fox2050 | |
|
Re: Problemas con restauracion de sistema - 2009-02-16 03:34 - Respuesta 9
Gracias no sabía que fuera ilegal por lo que es mejor eliminarlo ya que la poca experiencia que tengo con la computadora es porque forma parte de mi herramienta en mi trabajo. Estaré más atento y lo comentaré con ellos.
Tengo todavía problemas con la restauración de sistema además de que no puedo bajar las actualizaciones de windows quizás se relacione con el mismo problema porque me sigue apareciendo el mismo mensaje al momento de querer activar la restauración del sistema diciendo que "restaurar el sistema ha sido desactivado por una directiva de grupo y que para activarlo debo de ponerme en contacto con el administrador de dominio" Cree que pueda hacer algo para volver activarlo?
Un amigo me recomendó formatear el disco y volver a cargar windows pero no tiene mucha experiencia en esto por lo cual lo dejaré como la última opción después de haber agotado todas las posibilidades pero si ustedes me aconsejan que lo haga entonces delo por hecho.
Saludos y mil gracias por su invaluable ayuda
| |
|
|
|
