| swissman |  |
|
2009-05-06 06:50 - Respuestas: 14 - Tema nº: 2589994
pues lo descargas en otro pc y lo copias al tuyo | |
|
|
| chichohot |  |
|
Re: Virus activo win32 tool tpe a aplicacion (solucionado) - 2009-05-08 19:59 - Respuesta 7
aqui le envio el analisis de hijackthis gracias espero respuestas
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:01:05 p.m., on 08/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\Archivos de programa\\Lavasoft\\Ad-Aware\\AAWService.exe
C:\\WINDOWS\\system32\\spoolsv.exe
C:\\WINDOWS\\Explorer.EXE
C:\\Archivos de programa\\Java\\jre1.5.0_06\\bin\\jusched.exe
C:\\Archivos de programa\\Eset\\nod32kui.exe
C:\\Archivos de programa\\CyberLink\\PowerDVD\\PDVDServ.exe
C:\\WINDOWS\\system32\\RunDll32.exe
C:\\Archivos de programa\\Winamp\\winampa.exe
C:\\Archivos de programa\\HP\\HP Software Update\\HPWuSchd2.exe
C:\\Archivos de programa\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe
C:\\ARCHIV~1\\Nokia\\NOKIAP~1\\LAUNCH~1.EXE
C:\\Archivos de programa\\Microsoft Office\\Office12\\GrooveMonitor.exe
C:\\Archivos de programa\\Fighters\\spywarefighter\\SpywarefighterUser.exe
C:\\Archivos de programa\\Lavasoft\\Ad-Aware\\AAWTray.exe
C:\\WINDOWS\\system32\\ctfmon.exe
C:\\Archivos de programa\\TaskSwitchXP\\TaskSwitchXP.exe
C:\\Archivos de programa\\Microsoft Encarta\\Encarta 2007 Biblioteca Premium\\EDICT.EXE
C:\\Documents and Settings\\Administrador\\Configuración local\\Datos de programa\\Google\\Update\\GoogleUpdate.exe
C:\\Archivos de programa\\Yahoo!\\Messenger\\ymsgr_tray.exe
C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe
C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTEM.EXE
C:\\Archivos de programa\\Eset\\nod32krn.exe
C:\\Archivos de programa\\Fighters\\configservice.exe
C:\\Archivos de programa\\Microsoft\\Search Enhancement Pack\\SeaPort\\SeaPort.exe
C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqSTE08.exe
C:\\Archivos de programa\\Alcohol Soft\\Alcohol 120\\StarWind\\StarWindService.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\Archivos de programa\\Fighters\\licenseservice.exe
C:\\Archivos de programa\\Fighters\\updateservice.exe
C:\\Archivos de programa\\Fighters\\ScannerService.exe
C:\\Archivos de programa\\Archivos comunes\\PCSuite\\Services\\ServiceLayer.exe
c:\\archivos de programa\\fighters\\spywarefighter\\SPYWAREfighterTray.exe
C:\\Archivos de programa\\Camfrog\\Camfrog Video Chat\\Camfrog Video Chat.exe
C:\\WINDOWS\\system32\\wuauclt.exe
C:\\Archivos de programa\\Java\\jre1.5.0_06\\bin\\jucheck.exe
C:\\Archivos de programa\\Windows Live\\Toolbar\\wltuser.exe
C:\\Archivos de programa\\FlashGet\\flashget.exe
C:\\WINDOWS\\system32\\wuauclt.exe
C:\\Archivos de programa\\Trend Micro\\HijackThis\\HijackThis.exe
R1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = http://search.live.com
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://search.conduit.com/ResultsExt.aspx?ctid=CT1928135&SearchSource=2&q=google
R0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://www.zoower.com/
R0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Search,SearchAssistant = http://search.live.com/sphome.aspx
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Local Page =
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName =
R3 - URLSearchHook: Lime Line Toolbar - {b0fad180-c12e-4a9f-982c-5dbe7762af50} - C:\\Archivos de programa\\Lime_Line\\tbLim0.dll
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\\Archivos de programa\\Yahoo!\\Companion\\Installs\\cpn\\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\\Archivos de programa\\Yahoo!\\Companion\\Installs\\cpn\\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\Archivos de programa\\Adobe\\Acrobat 7.0\\ActiveX\\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\\Archivos de programa\\Microsoft\\Search Enhancement Pack\\Search Helper\\SearchHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\\Archivos de programa\\Microsoft Office\\Office12\\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\\Archivos de programa\\Java\\jre1.5.0_06\\bin\\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\\Archivos de programa\\Archivos comunes\\Microsoft Shared\\Windows Live\\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\\Archivos de programa\\Archivos comunes\\Microsoft Shared\\Encarta Web Companion\\2007\\ENCWCBAR.DLL
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\\ARCHIV~1\\FlashGet\\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\\Archivos de programa\\Google\\Google Toolbar\\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\\Archivos de programa\\Google\\GoogleToolbarNotifier\\5.1.1309.3572\\swg.dll
O2 - BHO: Lime Line Toolbar - {b0fad180-c12e-4a9f-982c-5dbe7762af50} - C:\\Archivos de programa\\Lime_Line\\tbLim0.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\\Archivos de programa\\Google\\Google Toolbar\\Component\\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\\Archivos de programa\\Windows Live\\Toolbar\\wltcore.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\\ARCHIV~1\\FlashGet\\fgiebar.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\\Archivos de programa\\Archivos comunes\\Microsoft Shared\\Encarta Web Companion\\2007\\ENCWCBAR.DLL
O3 - Toolbar: Lime Line Toolbar - {b0fad180-c12e-4a9f-982c-5dbe7762af50} - C:\\Archivos de programa\\Lime_Line\\tbLim0.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\\Archivos de programa\\Windows Live\\Toolbar\\wltcore.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\\Archivos de programa\\Yahoo!\\Companion\\Installs\\cpn\\yt.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\\Archivos de programa\\Google\\Google Toolbar\\GoogleToolbar.dll
O4 - HKLM\\..\\Run: [SunJavaUpdateSched] C:\\Archivos de programa\\Java\\jre1.5.0_06\\bin\\jusched.exe
O4 - HKLM\\..\\Run: [NeroFilterCheck] C:\\WINDOWS\\system32\\NeroCheck.exe
O4 - HKLM\\..\\Run: [nod32kui] \"C:\\Archivos de programa\\Eset\\nod32kui.exe\" /WAITSERVICE
O4 - HKLM\\..\\Run: [RemoteControl] \"C:\\Archivos de programa\\CyberLink\\PowerDVD\\PDVDServ.exe\"
O4 - HKLM\\..\\Run: [IMJPMIG8.1] \"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32
O4 - HKLM\\..\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\\..\\Run: [WinampAgent] C:\\Archivos de programa\\Winamp\\winampa.exe
O4 - HKLM\\..\\Run: [HP Software Update] C:\\Archivos de programa\\HP\\HP Software Update\\HPWuSchd2.exe
O4 - HKLM\\..\\Run: [Adobe Photo Downloader] \"C:\\Archivos de programa\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\"
O4 - HKLM\\..\\Run: [PCSuiteTrayApplication] C:\\ARCHIV~1\\Nokia\\NOKIAP~1\\LAUNCH~1.EXE -startup
O4 - HKLM\\..\\Run: [GrooveMonitor] \"C:\\Archivos de programa\\Microsoft Office\\Office12\\GrooveMonitor.exe\"
O4 - HKLM\\..\\Run: [spywarefighterguard] C:\\Archivos de programa\\Fighters\\spywarefighter\\SpywarefighterUser.exe
O4 - HKLM\\..\\Run: [Ad-Watch] C:\\Archivos de programa\\Lavasoft\\Ad-Aware\\AAWTray.exe
O4 - HKCU\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\ctfmon.exe
O4 - HKCU\\..\\Run: [Yahoo! Pager] \"C:\\Archivos de programa\\Yahoo!\\Messenger\\YahooMessenger.exe\" -quiet
O4 - HKCU\\..\\Run: [TaskSwitchXP] C:\\Archivos de programa\\TaskSwitchXP\\TaskSwitchXP.exe
O4 - HKCU\\..\\Run: [swg] C:\\Archivos de programa\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe
O4 - HKCU\\..\\Run: [E07EDXRC_1011218] \"C:\\Archivos de programa\\Microsoft Encarta\\Encarta 2007 Biblioteca Premium\\EDICT.EXE\" -m
O4 - HKCU\\..\\Run: [Google Update] \"C:\\Documents and Settings\\Administrador\\Configuración local\\Datos de programa\\Google\\Update\\GoogleUpdate.exe\" /c
O4 - HKCU\\..\\Run: [Camfrog] \"C:\\Archivos de programa\\Camfrog\\Camfrog Video Chat\\CamfrogNet.exe\" 0 C:\\Archivos de programa\\Camfrog\\Camfrog Video Chat\\Camfrog Video Chat.exe
O4 - HKCU\\..\\RunOnce: [Shockwave Updater] C:\\WINDOWS\\system32\\Adobe\\SHOCKW~1\\SWHELP~2.EXE -Update -1103472 -\"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0; .NET CLR 3.0.04506.30)\" -\"http://www.disneylatino.com/juegos/cgi-bin/jugar.cgi?id=77&propiedad=31&sexo=&categoria=&estado=&edad=\"
O4 - HKUS\\S-1-5-19\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'SERVICIO LOCAL\')
O4 - HKUS\\S-1-5-19\\..\\RunOnce: [nlsf] cmd.exe /C move /Y \"%SystemRoot%\\System32\\syssetub.dll\" \"%SystemRoot%\\System32\\syssetup.dll\" (User \'SERVICIO LOCAL\')
O4 - HKUS\\S-1-5-20\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Servicio de red\')
O4 - HKUS\\S-1-5-20\\..\\RunOnce: [nlsf] cmd.exe /C move /Y \"%SystemRoot%\\System32\\syssetub.dll\" \"%SystemRoot%\\System32\\syssetup.dll\" (User \'Servicio de red\')
O4 - HKUS\\S-1-5-18\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'SYSTEM\')
O4 - HKUS\\S-1-5-18\\..\\RunOnce: [nlsf] cmd.exe /C move /Y \"%SystemRoot%\\System32\\syssetub.dll\" \"%SystemRoot%\\System32\\syssetup.dll\" (User \'SYSTEM\')
O4 - HKUS\\.DEFAULT\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Default user\')
O4 - HKUS\\.DEFAULT\\..\\RunOnce: [nlsf] cmd.exe /C move /Y \"%SystemRoot%\\System32\\syssetub.dll\" \"%SystemRoot%\\System32\\syssetup.dll\" (User \'Default user\')
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTEM.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\\Archivos de programa\\FlashGet\\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\\Archivos de programa\\FlashGet\\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\\ARCHIV~1\\MICROS~1\\Office12\\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Archivos de programa\\Java\\jre1.5.0_06\\bin\\ssv.dll
O9 - Extra \'Tools\' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Archivos de programa\\Java\\jre1.5.0_06\\bin\\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\\Archivos de programa\\Windows Live\\Writer\\WriterBrowserExtension.dll
O9 - Extra \'Tools\' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\\Archivos de programa\\Windows Live\\Writer\\WriterBrowserExtension.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\\ARCHIV~1\\MICROS~1\\Office12\\ONBttnIE.dll
O9 - Extra \'Tools\' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\\ARCHIV~1\\MICROS~1\\Office12\\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\\ARCHIV~1\\MICROS~1\\Office12\\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\\Archivos de programa\\Archivos comunes\\Microsoft Shared\\Encarta Search Bar\\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\\ARCHIV~1\\FlashGet\\flashget.exe
O9 - Extra \'Tools\' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\\ARCHIV~1\\FlashGet\\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\\ARCHIV~1\\Yahoo!\\MESSEN~1\\YAHOOM~1.EXE
O9 - Extra \'Tools\' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\\ARCHIV~1\\Yahoo!\\MESSEN~1\\YAHOOM~1.EXE
O10 - Unknown file in Winsock LSP: c:\\windows\\system32\\nwprovau.dll
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\\Archivos de programa\\Yahoo!\\Common\\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\\Archivos de programa\\Microsoft Office\\Office12\\GrooveSystemServices.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\\Archivos de programa\\Google\\Google Toolbar\\Component\\fastsearch_A8904FB862BD9564.dll
O23 - Service: Google Software Updater (gusvc) - Google - C:\\Archivos de programa\\Google\\Common\\Google Updater\\GoogleUpdaterService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\\Archivos de programa\\Lavasoft\\Ad-Aware\\AAWService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\\Archivos de programa\\Eset\\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\\WINDOWS\\system32\\HPZipm12.exe
O23 - Service: PTK License-FIGHTERS-1935171939 - SPAMfighter - C:\\Archivos de programa\\Fighters\\licenseservice.exe
O23 - Service: PTK Live Update-FIGHTERS-1935171939 - SPAMfighter - C:\\Archivos de programa\\Fighters\\updateservice.exe
O23 - Service: PTK Scanner-FIGHTERS-1935171939 - SPAMfighter - C:\\Archivos de programa\\Fighters\\ScannerService.exe
O23 - Service: PTK SharedAccess-FIGHTERS-1935171939 - SPAMfighter - C:\\Archivos de programa\\Fighters\\configservice.exe
O23 - Service: ServiceLayer - Nokia. - C:\\Archivos de programa\\Archivos comunes\\PCSuite\\Services\\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\\Archivos de programa\\Alcohol Soft\\Alcohol 120\\StarWind\\StarWindService.exe
End of file - 14396 bytes
-
[Mensaje editado por swissman con fecha: 08-05-2009 20:33:02]. | |
|
|
| swissman | |
|
Re: Virus activo win32 tool tpe a aplicacion (solucionado) - 2009-05-08 20:21 - Respuesta 8
desinstala TODAS las toolbar que tienes, google, yahoo, lime-nine..)
cierra todos los programas, navegador incluido, ejecuta hijackthis pulsando do a system scan only y marcas las siguientes entradas:
R3 - URLSearchHook: Lime Line Toolbar - {b0fad180-c12e-4a9f-982c-5dbe7762af50} - C:\Archivos de programa\Lime_Line\tbLim0.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Lime Line Toolbar - {b0fad180-c12e-4a9f-982c-5dbe7762af50} - C:\Archivos de programa\Lime_Line\tbLim0.dll
O3 - Toolbar: Lime Line Toolbar - {b0fad180-c12e-4a9f-982c-5dbe7762af50} - C:\Archivos de programa\Lime_Line\tbLim0.dll
pulsa fix checked, sin reinciar busca y borra la siguiente carpeta y su contenido (habilita la opcion de ver archivos y carpetas ocultos). si alguno no se deja usa killbox o unlocker, o ambos
C:\Archivos de programa\Lime_Line
pasa ccleaner, para limpiar los temporales y cokies y registro, y regclener
reinicias y nos dices que tal va, pegas el log de nuevo | |
|
|
| chichohot | |
|
Re: Virus activo win32 tool tpe a aplicacion (solucionado) - 2009-05-12 03:05 - Respuesta 9
aqui le envio el otro analisis espero respuestas gracias
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:31:42 p.m., on 11/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Fighters\configservice.exe
C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Fighters\licenseservice.exe
C:\Archivos de programa\Fighters\updateservice.exe
C:\Archivos de programa\Fighters\ScannerService.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Archivos de programa\Fighters\spywarefighter\SpywarefighterUser.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium\EDICT.EXE
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE
C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
c:\archivos de programa\fighters\spywarefighter\SPYWAREfighterTray.exe
C:\Archivos de programa\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Windows Live\Toolbar\wltuser.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.ve/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zoower.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [spywarefighterguard] C:\Archivos de programa\Fighters\spywarefighter\SpywarefighterUser.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [E07EDXRC_1011218] "C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium\EDICT.EXE" -m
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Camfrog] "C:\Archivos de programa\Camfrog\Camfrog Video Chat\CamfrogNet.exe" 0 C:\Archivos de programa\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~2.EXE -Update -1103472 -"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0; .NET CLR 3.0.04506.30)" -"http://www.disneylatino.com/juegos/cgi-bin/jugar.cgi?id=77&propiedad=31&sexo=&categoria=&estado=&edad="
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PTK License-FIGHTERS-1935171939 - SPAMfighter - C:\Archivos de programa\Fighters\licenseservice.exe
O23 - Service: PTK Live Update-FIGHTERS-1935171939 - SPAMfighter - C:\Archivos de programa\Fighters\updateservice.exe
O23 - Service: PTK Scanner-FIGHTERS-1935171939 - SPAMfighter - C:\Archivos de programa\Fighters\ScannerService.exe
O23 - Service: PTK SharedAccess-FIGHTERS-1935171939 - SPAMfighter - C:\Archivos de programa\Fighters\configservice.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
End of file - 12027 bytes
| |
|
|
| swissman | |
|
Re: Virus activo win32 tool tpe a aplicacion (solucionado) - 2009-05-12 13:51 - Respuesta 10
cierra todos los programas, navegador incluido, ejecuta hijackthis pulsando do a system scan only y marcas las siguientes entradas:
tienes exprofeso algo de disneylatino? si no sabes que es, marca la siguiente, si es buno y sabes que es, no lo marques
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~2.EXE -Update -1103472 -"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0; .NET CLR 3.0.04506.30)" -"http://www.disneylatino.com/juegos/cgi-bin/jugar.cgi?id=77&propiedad=31&sexo=& categoria=&estado=&edad="
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
pulsa fix checked, sin reinciar busca y borra lo siguiente (habilita la opcion de ver archivos y carpetas ocultos). si alguno no se deja usa killbox o unlocker, o ambos
c:(\winnt\)System32\syssetub.dll
pasa ccleaner, para limpiar los temporales y cokies y registro, y regclener
reinicias y nos dices que tal va, pega el log d eneuvo | |
|
|
|
