| IGLUU |  |
|
2009-03-07 19:00 - Respuestas: 7 - Tema nº: 2577583
.... bueno ahora si, mas que claro entendible.
aqui esta lo que me aparece en el txt, despues de correr el hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:53:19 a.m., on 07/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal
Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\system32\\spoolsv.exe
C:\\WINDOWS\\Explorer.EXE
C:\\Archivos de programa\\ESET\\ESET NOD32 Antivirus\\egui.exe
C:\\Archivos de programa\\Unlocker\\UnlockerAssistant.exe
C:\\WINDOWS\\system32\\ctfmon.exe
C:\\Archivos de programa\\ESET\\ESET NOD32 Antivirus\\ekrn.exe
C:\\Archivos de programa\\Archivos comunes\\Microsoft Shared\\VS7DEBUG\\MDM.EXE
C:\\Archivos de programa\\Microsoft\\Search Enhancement Pack\\SeaPort\\SeaPort.exe
C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe
C:\\Archivos de programa\\Windows Live\\Contacts\\wlcomm.exe
C:\\Archivos de programa\\Mozilla Firefox\\firefox.exe
C:\\Archivos de programa\\Trend Micro\\HijackThis\\HijackThis.exe
R1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\Archivos de programa\\Archivos comunes\\Adobe\\Acrobat\\ActiveX\\AcroIEHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\\Archivos de programa\\Microsoft\\Search Enhancement Pack\\Search Helper\\SearchHelper.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\\Archivos de programa\\Archivos comunes\\Microsoft Shared\\Windows Live\\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\\Archivos de programa\\Windows Live\\Toolbar\\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\\Archivos de programa\\Windows Live\\Toolbar\\wltcore.dll
O4 - HKLM\\..\\Run: [egui] \"C:\\Archivos de programa\\ESET\\ESET NOD32 Antivirus\\egui.exe\" /hide /waitservice
O4 - HKLM\\..\\Run: [UnlockerAssistant] \"C:\\Archivos de programa\\Unlocker\\UnlockerAssistant.exe\"
O4 - HKCU\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\ctfmon.exe
O4 - HKUS\\S-1-5-19\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'SERVICIO LOCAL\')
O4 - HKUS\\S-1-5-19\\..\\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User \'SERVICIO LOCAL\')
O4 - HKUS\\S-1-5-20\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Servicio de red\')
O4 - HKUS\\S-1-5-20\\..\\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User \'Servicio de red\')
O4 - HKUS\\S-1-5-18\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'SYSTEM\')
O4 - HKUS\\.DEFAULT\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Default user\')
O4 - HKUS\\.DEFAULT\\..\\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User \'Default user\')
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\\Archivos de programa\\Windows Live\\Writer\\WriterBrowserExtension.dll
O9 - Extra \'Tools\' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\\Archivos de programa\\Windows Live\\Writer\\WriterBrowserExtension.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\\ARCHIV~1\\MICROS~1\\OFFICE11\\REFIEBAR.DLL
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\\Archivos de programa\\ESET\\ESET NOD32 Antivirus\\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\\Archivos de programa\\ESET\\ESET NOD32 Antivirus\\ekrn.exe
End of file - 4372 bytes
bueno por el momento creo es todo.... bye y gracias por su ayuda.(swissman, marinalope)
-
[Mensaje editado por swissman con fecha: 07-03-2009 19:05:51]. | |
|
|
| swissman |  |
|
Re: Virus..... recycler - 2009-03-07 19:06 - Respuesta 7
cierra todos los programas, navegador incluido, ejecuta hijackthis pulsando do a system scan only y marcas las siguientes entradas:
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
pulsa fix checked, sin reinciar pasa ccleaner, para limpiar los temporales y cokies y registro, y regclener
reinicias y nos dices que tal va | |
|
|
| IGLUU | |
|
Re: Virus..... recycler - 2009-03-10 06:58 - Respuesta 8
que tal !!!!!!!!
corri tal como se me indico y no sucedio nada, a escepcion que el hijackthis elimino lo referente a dicho renglon que fue marcado:
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
los directorios y archivos siguen apareciendo.
esta es su ubicacion (directorios y archivos que se crean -ruta completa-)
c:\recycler\S-1-5-21-1547161642-1580818891-1801674531-500\desktop.ini (con 65k)
Este archivo contiene: [.ShellClassinfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
c:\recycler\S-1-5-21-1547161642-1580818891-1801674531-500\INF02 (con 20k)
Este archivo contiene: (solo 2 simbolos raros)
c:\System Volume Information (acceso denegado, no me permite accesar)
e:\Recycled\desktop.ini (con 65k)
Este archivo contiene: [.ShellClassinfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
e:\Recycled\INF02 (con 20k)
Este archivo contiene: (solo 2 simbolos raros)
e:\System Volume Information\_restore{AEB57048-7224-486D-86F3-8B88230B02BB}\RP1\change.log (con 36062k)
Este archivo contiene: (lo edito y aparecen muchos simbolos extraños y entre ellos
todas las rutas de lo existente en la unidad e: -que es un 2do disco-)
e:\System Volume Information\_restore{AEB57048-7224-486D-86F3-8B88230B02BB}\RP1\A0000011.ini (con 65k)
Este archivo contiene: [.ShellClassinfo]
clsid={645FF040-5081-101B-9F08-00AA002F954E}
al utilizar programa unlocker para desbloquear e intentar eliminar me envia lo siguiente, en:
c:\recycler
proceso: explorer.exe
ruta bloqueada: C:\recycler
c:\System volume information
1.-
proceso: system
ruta bloqueada: c:\System Volume Information\_restore{AEB57048-7224-486D-86F3-8B88230B02BB}\RP1\change.log
pid: 4
handle: 1908
ruta del proceso: c:\window\system32\svchost.exe
2.-
Proceso: svchost.exe
ruta bloqueada: C:\System Volume Information\traking.log
PID: 812
handle: 1496
Ruta de Proceso: c:\windows\System32\svchost.exe
e:\System volume information
1.-
proceso: system
ruta bloqueada: E:\System Volume Information\_restore{AEB57048-7224-486D-86F3-8B88230B02BB}\RP1\change.log
pid: 4
handle: 1864
ruta de proceso: system
2.-
proceso: explorer.exe
ruta bloqueada: e:\system volume information
pid: 1360
ruta de proceso: c:\windows\explorer.exe
eso es todo por el momento, bye, y chido por su atencion | |
|
|
|
