| marinalope |  |
|
2010-03-09 14:07 - Respuestas: 10 - Tema nº: 2667029
Pega un nuevo log por si ha quedado algo. | |
|
|
| carlossolan |  |
|
Re: Eliminar virus Desktop Security 2010 (solucionado) - 2010-03-10 10:55 - Respuesta 7
Pues ha vuelto a salir de nuevo :'(
Dejo el Hijackthis otra vez:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 10:51:28, on 10/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\xampp\apache\bin\apache.exe
C:\Archivos de programa\NetSupport\NetSupport School\client32.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\NetSupport\NetSupport School\runplugin.exe
C:\Archivos de programa\TrendMicro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.visualroute.com/support/uninstall.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NBHO1 Class - {53F53E00-4C2B-43E5-8AF0-D3C863E8FC65} - C:\Archivos de programa\Danware Data\NetOp School\Student\NBHO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\SMR007\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [GoopdateresGoopdateres] c:\docume~1\smr122\config~1\temp\setupgoogle.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [Google Update] "C:\Documents and Settings\SMR122\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [GoopdateresGoogle] c:\docume~1\smr122\config~1\temp\googleupdategoogle1.2.183.17.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [GoogleGoogle] C:\docume~1\smr122\config~1\temp\googleupdategoogle1.2.183.17.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [tkw7g9uwcv8c] C:\Documents and Settings\SMR122\Configuración local\Temp\m.22.tmp.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [setupgoogle] C:\docume~1\smr122\config~1\temp\setupgoogle.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [sebluvik] c:\docume~1\smr122\config~1\temp\sebluvik.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [Desktop Security 2010] C:\Documents and Settings\SMR122\Datos de programa\Desktop Security 2010\Desktop Security 2010.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [SecurityCenter] C:\Documents and Settings\SMR122\Datos de programa\Desktop Security 2010\securitycenter.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\RunServices: [WebcamFake] c:\documents and settings\smr122\escritorio\fake webcam 6.1 + keygen\keygenfake.exe (User 'SMR122')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = INFO.IESBRIANDADEMENDOZA.ES
O17 - HKLM\Software\..\Telephony: DomainName = INFO.IESBRIANDADEMENDOZA.ES
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = INFO.IESBRIANDADEMENDOZA.ES
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe
O23 - Service: Client32 - NetSupport Ltd - C:\Archivos de programa\NetSupport\NetSupport School\client32.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: DDE de red (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NetOp Helper ver. 8.00 (2005143) (NetOp Host for NT Service) - Danware Data A/S - C:\Archivos de programa\Danware Data\NetOp School\Student\NHOSTSVC.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
End of file - 8515 bytes | |
|
|
| marinalope | |
|
Re: Eliminar virus Desktop Security 2010 (solucionado) - 2010-03-10 11:52 - Respuesta 8
Descarga el Combofix y se lo pasas.
No requiere instalación. Se descarga y se deja en el escritorio
En el caso de Windows vista (Y supongo que también en Windows 7), se debe ejecutar como administrador (Boton derecho-ejecutar como
administrador)
Se recomienda desactivar temporalmente el antivirus, ya que algunos pueden detectarlo como virus (es un falso positivo, esto es por los códigos que
necesita ejecutar)
Se hace doble click en el arcihivo combofix.exe y se aceptan los términos de uso
Se abrirá una ventana de DOS. Los íconos del escritorio desaparecerán (Esto es normal) y aparecerá ese mensaje:
"Please, wait. ComboFix is preparing to run". "Attempting to create a new restore point".
Traducido, dice algo así como ComboFix se está preparando para ejecutarse y está intentando crear un nuevo punto de Restauración del Sistema.
Después comenzará el proceso de desinfección. No se debe mover el mouse para no interferir
En caso de que se use Windows XP se reiniciará automáticamente (No se debe reiniciar manualmente). En Vista esto no es necesario.
Después pega un nuevo log. | |
|
|
| carlossolan | |
|
Re: Eliminar virus Desktop Security 2010 (solucionado) - 2010-03-22 13:58 - Respuesta 9
Éste es el log del combofix
ComboFix 10-03-21.04 - SMR007 22/03/2010 13:18:05.3.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.959.556 [GMT 1:00]
Running from: c:\documents and settings\SMR122\Escritorio\ComboFix.exe
.
((((((((((((((((((((((((( Files Created from 2010-02-22 to 2010-03-22 )))))))))))))))))))))))))))))))
.
2010-03-22 10:47 . 2010-03-22 10:47 388096 a-r- c:\documents and settings\SMR122\Datos de programa\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-03-10 09:37 . 2010-03-10 07:25 3975680 a-w- c:\documents and settings\SMR122\Datos de programa\Desktop Security 2010\securityhelper.exe
2010-03-10 09:37 . 2010-03-09 20:36 53248 a-w- c:\documents and settings\SMR122\Datos de programa\Desktop Security 2010\taskmgr.dll
2010-03-10 09:37 . 2010-03-09 20:36 3230208 a-w- c:\documents and settings\SMR122\Datos de programa\Desktop Security 2010\Desktop Security 2010.exe
2010-03-10 09:37 . 2010-03-09 20:33 223232 a-w- c:\documents and settings\SMR122\Datos de programa\Desktop Security 2010\securitycenter.exe
2010-03-10 09:37 . 2010-01-21 18:29 86070 a-w- c:\documents and settings\SMR122\Datos de programa\Desktop Security 2010\pthreadVC2.dll
2010-03-10 09:37 . 2010-01-21 18:29 499712 a-w- c:\documents and settings\SMR122\Datos de programa\Desktop Security 2010\msvcp71.dll
2010-03-10 09:37 . 2010-01-21 18:29 348160 a-w- c:\documents and settings\SMR122\Datos de programa\Desktop Security 2010\msvcr71.dll
2010-03-10 09:37 . 2010-01-21 18:29 1060864 a-w- c:\documents and settings\SMR122\Datos de programa\Desktop Security 2010\mfc71.dll
2010-03-10 09:37 . 2010-01-21 18:29 57344 a-w- c:\documents and settings\SMR122\Datos de programa\Desktop Security 2010\MFC71ENU.DLL
2010-03-10 09:37 . 2010-03-10 09:37 d-w- c:\documents and settings\SMR122\Datos de programa\Desktop Security 2010
2010-03-10 09:14 . 2010-03-10 09:14 388096 a-r- c:\documents and settings\SMR007\Datos de programa\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-03-10 09:14 . 2010-03-10 09:14 d-w- c:\archivos de programa\TrendMicro
2010-03-09 13:20 . 2010-03-10 08:01 d-w- c:\windows\system32\DGL
2010-03-05 11:08 . 2010-03-05 11:25 d-w- c:\documents and settings\SMR122\Datos de programa\X-Chat 2
2010-03-04 11:58 . 2010-03-04 11:58 664 a-w- c:\windows\system32\d3d9caps.dat
2010-03-04 11:31 . 2009-06-30 08:37 28552 a-w- c:\windows\system32\drivers\pavboot.sys
2010-03-03 08:25 . 2010-03-09 12:29 d-w- c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2010-02-26 20:52 . 2010-02-26 20:52 d-w- c:\archivos de programa\Microsoft CAPICOM 2.1.0.2
2010-02-26 13:05 . 2005-08-23 10:35 344064 a-w- c:\windows\system32\MSVCR70.DLL
2010-02-26 11:21 . 2007-12-05 22:34 4864 a-w- c:\windows\system32\drivers\mcctl.sys
2010-02-26 11:21 . 2007-12-05 22:29 17024 a-w- c:\windows\system32\drivers\mcclib.sys
2010-02-26 11:21 . 2010-02-26 11:21 d-w- c:\archivos de programa\ShiningMorning
2010-02-26 10:28 . 2010-02-26 10:28 d-w- c:\documents and settings\SMR122\vw
2010-02-26 10:28 . 2010-02-26 10:28 d-w- c:\documents and settings\SMR122\VisualRoute
2010-02-26 10:16 . 2010-02-26 10:16 d-w- c:\documents and settings\All Users\Datos de programa\NCH Software
2010-02-26 08:29 . 2010-02-26 08:29 58368 -hw- c:\documents and settings\SMR122\uwswxi.exe
2010-02-26 08:22 . 2010-02-26 12:38 d-w- c:\archivos de programa\FWeb
2010-02-25 12:45 . 2010-02-25 12:45 d-w- c:\documents and settings\SMR007\Datos de programa\Thinstall
2010-02-25 12:44 . 2010-02-25 12:44 d-w- c:\documents and settings\SMR122\Datos de programa\Thinstall
2010-02-23 11:57 . 2010-02-23 11:57 d-w- c:\archivos de programa\PopMessenger
2010-02-23 11:57 . 2010-02-23 11:57 d-w- c:\documents and settings\SMR007\Datos de programa\LeadMind
2010-02-23 08:29 . 2009-08-06 18:23 274288 a-w- c:\windows\system32\mucltui.dll
2010-02-23 08:29 . 2009-08-06 18:23 215920 a-w- c:\windows\system32\muweb.dll
2010-02-22 10:38 . 2010-02-22 10:38 d-s-w- c:\documents and settings\SMR122\UserData
2010-02-22 10:30 . 2010-02-25 09:15 d-w- c:\documents and settings\SMR122\Tracing
2010-02-22 10:24 . 2010-02-22 10:24 d-w- c:\archivos de programa\Archivos comunes\Windows Live
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-22 11:30 . 2007-09-27 10:09 d-w- c:\documents and settings\LocalService\Datos de programa\VMware
2010-03-22 11:30 . 2007-09-27 10:08 d-w- c:\documents and settings\All Users\Datos de programa\VMware
2010-03-22 08:49 . 2010-01-21 09:41 d-w- c:\documents and settings\SMR122\Datos de programa\VMware
2010-03-10 18:49 . 2009-05-05 17:07 d-w- c:\documents and settings\All Users\Datos de programa\Microsoft Help
2010-03-10 18:10 . 2009-10-13 16:07 d-w- c:\documents and settings\jlopez\Datos de programa\VMware
2010-03-03 20:45 . 2009-05-05 17:13 d-w- c:\archivos de programa\Microsoft Works
2010-02-26 07:50 . 2001-08-24 12:00 52496 a-w- c:\windows\system32\perfc00A.dat
2010-02-26 07:50 . 2001-08-24 12:00 365248 a-w- c:\windows\system32\perfh00A.dat
2010-02-26 07:44 . 2007-09-27 16:24 d-w- c:\documents and settings\All Users\Datos de programa\Symantec
2010-02-24 20:43 . 2007-10-11 17:17 40 a-w- c:\windows\system32\profile.dat
2010-02-24 07:48 . 2010-01-25 12:11 d-w- c:\archivos de programa\Dev-Cpp
2010-02-24 07:47 . 2010-01-25 12:51 d-w- c:\documents and settings\SMR007\Datos de programa\Dev-Cpp
2010-02-19 11:24 . 2010-02-19 11:24 d-w- c:\documents and settings\SMR122\Datos de programa\KGYSoft
2010-02-19 11:22 . 2010-02-19 11:22 d-w- c:\documents and settings\SMR007\Datos de programa\KGYSoft
2010-02-19 07:34 . 2010-02-19 07:34 86016 a-w- c:\windows\system32\OpenAL32.dll
2010-02-19 07:34 . 2010-02-19 07:34 262144 a-w- c:\windows\system32\wrap_oal.dll
2010-02-19 07:32 . 2007-06-21 12:13 dhw- c:\archivos de programa\InstallShield Installation Information
2010-02-01 10:14 . 2010-02-01 10:11 d-w- c:\documents and settings\SMR122\Datos de programa\My Virtual Machines
2010-01-28 12:32 . 2010-01-28 12:32 d-w- c:\documents and settings\SMR122\Datos de programa\GetRightToGo
2010-01-25 18:36 . 2010-01-25 18:23 d-w- c:\documents and settings\jlopez\Datos de programa\Dev-Cpp
2010-01-25 12:58 . 2010-01-25 12:56 d-w- c:\documents and settings\SMR122\Datos de programa\Dev-Cpp
2010-01-22 08:32 . 2010-01-22 08:32 d-w- c:\documents and settings\SMR122\Datos de programa\TeamViewer
2010-01-21 18:26 . 2009-10-09 16:41 d-w- c:\documents and settings\josemiguel\Datos de programa\VMware
2010-01-20 07:40 . 2010-01-20 07:40 388096 a-r- c:\documents and settings\SMR114\Datos de programa\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-19 12:58 . 2010-01-19 12:58 411368 a-w- c:\windows\system32\deploytk.dll
2010-01-19 12:57 . 2010-01-19 12:57 152576 a-w- c:\documents and settings\SMR007\Datos de programa\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-19 12:56 . 2010-01-19 12:56 79488 a-w- c:\documents and settings\SMR007\Datos de programa\Sun\Java\jre1.6.0_17\gtapi.dll
2010-01-19 12:56 . 2010-01-07 11:19 152576 a-w- c:\documents and settings\SMR114\Datos de programa\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-19 12:56 . 2010-01-07 11:19 79488 a-w- c:\documents and settings\SMR114\Datos de programa\Sun\Java\jre1.6.0_17\gtapi.dll
2010-01-14 10:03 . 2010-01-14 10:03 40960 a-r- c:\documents and settings\SMR114\Datos de programa\Microsoft\Installer\{EA5B4DB8-BF9A-4E23-B7FB-0A387A3A0E8F}\NewShortcut4_EA5B4DB8BF9A4E23B7FB0A387A3A0E8F.exe
2010-01-14 10:03 . 2010-01-14 10:03 40960 a-r- c:\documents and settings\SMR114\Datos de programa\Microsoft\Installer\{EA5B4DB8-BF9A-4E23-B7FB-0A387A3A0E8F}\NewShortcut1_EA5B4DB8BF9A4E23B7FB0A387A3A0E8F.exe
2010-01-14 09:55 . 2010-01-14 09:55 40960 a-r- c:\documents and settings\SMR114\Datos de programa\Microsoft\Installer\{2EEFE0E9-4A36-49A7-BBD5-AD246FEBDA14}\NewShortcut4_2EEFE0E94A3649A7BBD5AD246FEBDA14.exe
2010-01-14 09:55 . 2010-01-14 09:55 40960 a-r- c:\documents and settings\SMR114\Datos de programa\Microsoft\Installer\{2EEFE0E9-4A36-49A7-BBD5-AD246FEBDA14}\NewShortcut1_2EEFE0E94A3649A7BBD5AD246FEBDA14.exe
2009-12-31 16:14 . 2004-08-03 23:14 352640 a-w- c:\windows\system32\drivers\srv.sys
2007-10-15 10:23 . 2007-10-11 12:36 3140 sha-w- c:\windows\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\SMR007\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" [2010-03-09 135664]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"PreXPSP2ShellProtocolBehavior"= 0 (0x0)
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Inicio rápido de Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Inicio rápido de Adobe Reader.lnk
backup=c:\windows\pss\Inicio rápido de Adobe Reader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^LAN Chat E n t e r p r i s e.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\LAN Chat E n t e r p r i s e.lnk
backup=c:\windows\pss\LAN Chat E n t e r p r i s e.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^LAN Chat.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\LAN Chat.lnk
backup=c:\windows\pss\LAN Chat.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Utility Tray.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Utility Tray.lnk
backup=c:\windows\pss\Utility Tray.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^SMR007^Menú Inicio^Programas^Inicio^LAN Chat.lnk]
path=c:\documents and settings\SMR007\Menú Inicio\Programas\Inicio\LAN Chat.lnk
backup=c:\windows\pss\LAN Chat.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
2005-08-11 14:30 249856 a-w- c:\archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
2005-08-11 14:30 81920 a-w- c:\archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSPower]
2005-02-16 15:02 49152 a-w- c:\windows\system32\SiSPower.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2005-06-20 19:42 77824 a-r- c:\windows\SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-19 12:58 149280 a-w- c:\archivos de programa\Java\jre6\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Danware Data\\NetOp School\\Student\\NSTDW32.EXE"=
"c:\\Archivos de programa\\NetSupport\\NetSupport School\\client32.exe"=
"c:\\Archivos de programa\\NetSupport\\NetSupport School\\PCINSSCD.EXE"=
"c:\\Archivos de programa\\NetSupport\\NetSupport School\\pcijoin.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R0 mcctl;mcctl;c:\windows\system32\drivers\mcctl.sys [26/02/2010 12:21 4864]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [04/03/2010 12:31 28552]
R1 NHostNT1;NetOp Driver 1 ver. 8.00 (2005143);c:\windows\system32\drivers\NHOSTNT1.SYS [11/10/2007 17:36 65808]
R2 Apache2.2;Apache2.2;c:\xampp\apache\bin\apache.exe [05/03/2007 11:23 16896]
R2 NetOp Host for NT Service;NetOp Helper ver. 8.00 (2005143);c:\archivos de programa\Danware Data\NetOp School\Student\NHOSTSVC.EXE [11/10/2007 17:36 1184016]
R3 NHOSTNT3;NetOp Driver 3 ver. 8.00 (2005143) (NHOSTNT3);c:\windows\system32\drivers\NHOSTNT3.SYS [11/10/2007 17:36 3216]
.
Contents of the 'Scheduled Tasks' folder
.
.
- Supplementary Scan -
.
uStart Page = hxxp://www.google.es/
uInternet Connection Wizard,ShellNext = hxxp://www.visualroute.com/support/uninstall.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\archivos de programa\Archivos comunes\NSL\nslsp.dll
FF - ProfilePath - c:\documents and settings\SMR007\Datos de programa\Mozilla\Firefox\Profiles\v3lehl9o.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.es/
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npganymedenet.dll
.
- - - - ORPHANS REMOVED - - - -
Notify-NavLogon - (no file)
MSConfigStartUp-Crack - Crack.reg
AddRemove-ActiveScan 2.0 - c:\archivos de programa\Panda Security\ActiveScan 2.0\as2uninst.exe
AddRemove-HijackThis - c:\archivos de programa\Trend Micro\HijackThis\HijackThis.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-22 13:31
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
- LOCKED REGISTRY KEYS -
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|þ»Ñw�*]
"A0C0110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
- DLLs Loaded Under Running Processes -
- - - - - - - > 'csrss.exe'(836)
c:\archivos de programa\NetSupport\NetSupport School\pcihooks.dll
.
Completion time: 2010-03-22 13:33:03
ComboFix-quarantined-files.txt 2010-03-22 12:32
Pre-Run: 5.246.967.808 bytes libres
Post-Run: 5.341.327.360 bytes libres
- - End Of File - - 99E57C6D14374B944FC9ED7239B6127F
Éste del HijackThis ejecutado como administrador
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 13:52:10, on 22/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\xampp\apache\bin\apache.exe
C:\Archivos de programa\NetSupport\NetSupport School\client32.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\xampp\mysql\bin\mysqld-nt.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\NetSupport\NetSupport School\runplugin.exe
C:\Documents and Settings\SMR122\Escritorio\HijackThis\TrendMicro\HiJackThis\HiJackThis.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.visualroute.com/support/uninstall.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NBHO1 Class - {53F53E00-4C2B-43E5-8AF0-D3C863E8FC65} - C:\Archivos de programa\Danware Data\NetOp School\Student\NBHO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\SMR007\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [EnvironmentUpdate] c:\documents and settings\smr122\configuración local\datos de programa\{3248f0a6-6813-11d6-a77b-00b0d0150010}\runtimeupdate.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [UpdateRuntime] c:\documents and settings\smr122\configuración local\datos de programa\{3248f0a6-6813-11d6-a77b-00b0d0150010}\environmentruntime.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [GoopdateresGoopdateres] c:\docume~1\smr122\config~1\temp\setupgoogle.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [Google Update] "C:\Documents and Settings\SMR122\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [GoopdateresGoogle] c:\docume~1\smr122\config~1\temp\googleupdategoogle1.2.183.17.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [GoogleGoogle] C:\docume~1\smr122\config~1\temp\googleupdategoogle1.2.183.17.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [tkw7g9uwcv8c] C:\Documents and Settings\SMR122\Configuración local\Temp\m.23.tmp.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [setupgoogle] C:\docume~1\smr122\config~1\temp\setupgoogle.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [sebluvik] c:\docume~1\smr122\config~1\temp\sebluvik.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [Desktop Security 2010] C:\Documents and Settings\SMR122\Datos de programa\Desktop Security 2010\Desktop Security 2010.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [SecurityCenter] C:\Documents and Settings\SMR122\Datos de programa\Desktop Security 2010\securitycenter.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\Run: [googleupdategoogle1.2.183.17] c:\docume~1\smr122\config~1\temp\googleupdategoogle1.2.183.17.exe (User 'SMR122')
O4 - HKUS\S-1-5-21-1042580371-1671556648-1310344514-2098\..\RunServices: [WebcamFake] c:\documents and settings\smr122\escritorio\fake webcam 6.1 + keygen\keygenfake.exe (User 'SMR122')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = INFO.IESBRIANDADEMENDOZA.ES
O17 - HKLM\Software\..\Telephony: DomainName = INFO.IESBRIANDADEMENDOZA.ES
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = INFO.IESBRIANDADEMENDOZA.ES
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe
O23 - Service: Client32 - NetSupport Ltd - C:\Archivos de programa\NetSupport\NetSupport School\client32.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: DDE de red (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NetOp Helper ver. 8.00 (2005143) (NetOp Host for NT Service) - Danware Data A/S - C:\Archivos de programa\Danware Data\NetOp School\Student\NHOSTSVC.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
End of file - 9367 bytes
Éste del HijackThis ejecutado como administrador
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 13:51:22, on 22/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\Documents and Settings\SMR122\Datos de programa\Desktop Security 2010\Desktop Security 2010.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\SMR122\Datos de programa\Desktop Security 2010\securitycenter.exe
C:\documents and settings\smr122\configuración local\datos de programa\{3248f0a6-6813-11d6-a77b-00b0d0150010}\runtimeupdate.exe
C:\documents and settings\smr122\configuración local\datos de programa\{3248f0a6-6813-11d6-a77b-00b0d0150010}\environmentruntime.exe
C:\docume~1\smr122\config~1\temp\setupgoogle.exe
C:\Documents and Settings\SMR122\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe
C:\Archivos de programa\NetSupport\NetSupport School\runplugin.exe
C:\Documents and Settings\SMR122\Configuración local\Datos de programa\Google\Update\1.2.183.17\GoogleCrashHandler.exe
C:\docume~1\smr122\config~1\temp\googleupdategoogle1.2.183.17.exe
C:\docume~1\smr122\config~1\temp\googleupdategoogle1.2.183.17.exe
C:\docume~1\smr122\config~1\temp\setupgoogle.exe
C:\Documents and Settings\SMR122\Datos de programa\Desktop Security 2010\Desktop Security 2010.exe
C:\docume~1\smr122\config~1\temp\googleupdategoogle1.2.183.17.exe
C:\WINDOWS\system32\userinit.exe
C:\Documents and Settings\SMR122\Escritorio\HijackThis\TrendMicro\HiJackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.entretieneteds.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.entretieneteds.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.visualroute.com/support/uninstall.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NBHO1 Class - {53F53E00-4C2B-43E5-8AF0-D3C863E8FC65} - C:\Archivos de programa\Danware Data\NetOp School\Student\NBHO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EnvironmentUpdate] c:\documents and settings\smr122\configuración local\datos de programa\{3248f0a6-6813-11d6-a77b-00b0d0150010}\runtimeupdate.exe
O4 - HKCU\..\Run: [UpdateRuntime] c:\documents and settings\smr122\configuración local\datos de programa\{3248f0a6-6813-11d6-a77b-00b0d0150010}\environmentruntime.exe
O4 - HKCU\..\Run: [GoopdateresGoopdateres] c:\docume~1\smr122\config~1\temp\setupgoogle.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\SMR122\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [GoopdateresGoogle] c:\docume~1\smr122\config~1\temp\googleupdategoogle1.2.183.17.exe
O4 - HKCU\..\Run: [GoogleGoogle] C:\docume~1\smr122\config~1\temp\googleupdategoogle1.2.183.17.exe
O4 - HKCU\..\Run: [tkw7g9uwcv8c] C:\Documents and Settings\SMR122\Configuración local\Temp\m.23.tmp.exe
O4 - HKCU\..\Run: [setupgoogle] C:\docume~1\smr122\config~1\temp\setupgoogle.exe
O4 - HKCU\..\Run: [sebluvik] c:\docume~1\smr122\config~1\temp\sebluvik.exe
O4 - HKCU\..\Run: [Desktop Security 2010] C:\Documents and Settings\SMR122\Datos de programa\Desktop Security 2010\Desktop Security 2010.exe
O4 - HKCU\..\Run: [SecurityCenter] C:\Documents and Settings\SMR122\Datos de programa\Desktop Security 2010\securitycenter.exe
O4 - HKCU\..\Run: [googleupdategoogle1.2.183.17] c:\docume~1\smr122\config~1\temp\googleupdategoogle1.2.183.17.exe
O4 - HKCU\..\RunServices: [WebcamFake] c:\documents and settings\smr122\escritorio\fake webcam 6.1 + keygen\keygenfake.exe
O4 - HKCU\..\RunServices: [EnvironmentUpdate] c:\documents and settings\smr122\configuración local\datos de programa\{3248f0a6-6813-11d6-a77b-00b0d0150010}\environmentruntime.exe
O4 - HKCU\..\RunServices: [RuntimeEnvironment] c:\documents and settings\smr122\configuración local\datos de programa\{3248f0a6-6813-11d6-a77b-00b0d0150010}\environmentruntime.exe
O4 - HKCU\..\RunServices: [chromeGears] c:\documents and settings\smr122\configuración local\datos de programa\google\chrome\application\4.0.295.0\gearscomponents0.5.33.0.exe
O4 - HKCU\..\RunServices: [Googlesetup4.0.295.0] c:\documents and settings\smr122\configuración local\datos de programa\google\chrome\application\4.0.295.0\installer\googlechrome.exe
O4 - HKCU\..\RunServices: [setupgoogle] C:\docume~1\smr122\config~1\temp\setupgoogle.exe
O4 - HKCU\..\RunServices: [sebluvik] c:\docume~1\smr122\config~1\temp\sebluvik.exe
O4 - HKCU\..\RunServices: [googleupdategoogle1.2.183.17] c:\docume~1\smr122\config~1\temp\googleupdategoogle1.2.183.17.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\archivos comunes\nsl\nslsp.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = INFO.IESBRIANDADEMENDOZA.ES
O17 - HKLM\Software\..\Telephony: DomainName = INFO.IESBRIANDADEMENDOZA.ES
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = INFO.IESBRIANDADEMENDOZA.ES
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\apache.exe
O23 - Service: Client32 - NetSupport Ltd - C:\Archivos de programa\NetSupport\NetSupport School\client32.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: DDE de red (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NetOp Helper ver. 8.00 (2005143) (NetOp Host for NT Service) - Danware Data A/S - C:\Archivos de programa\Danware Data\NetOp School\Student\NHOSTSVC.EXE
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
End of file - 9901 bytes | |
|
|
| marinalope | |
|
Re: Eliminar virus Desktop Security 2010 (solucionado) - 2010-03-22 14:30 - Respuesta 10
Está muy infectado.Vuelve a pasar todos los programas:
Paso 1: Descarga e instala los siguientes programas:
Spybot
Ccleaner (Manual de uso aquí)
Unlocker.
SUPERAntispyware (Manual de uso aquí)
malwarebytes anti malware instalacion configuracion y uso
RegSeeker. (Este último no requiere instalación. Sólo descomprímelo y mueve la carpeta a archivos de programa. Luego puedes crear un acceso directo del ejecutable en el escritorio)
Hijackthis (Manual de uso aquí)
Paso 2: Inicia en modo seguro con funciones de red
Paso 3: Haz una limpieza de archivos temporales con el Ccleaner
Paso 4: Actualiza el Spybot,el SUPERAntispyware y malwarebytes.
Paso 5: Escanea tu equipo con el Spybot,SUPERAntispyware,Malwarebytes y limpia lo que te encuentren.
Paso 6: Escanea tu equipo con algún antivirus on-line.
Te recomiendo alguno de estos:
Panda antivirus
Computer associates
Trend micro (Para usar éste, necesitas tener instalado el Java)
Bit defender
Nod32
Paso 7: Reinicia nuevamente en modo seguro y escanea nuevamente con el Spybot y limpia lo que encuentre
Paso 8: Haz una limpieza de registro con el Regseeker (Escanea varias veces hasta que ya no quede nada por limpiar)
Paso 9: Reinicia en modo normal.
Paso 10: Abre el hijackthis y le das en donde dice Do a system scan and save a log file.
Te generará un archivo de texto. Copia su contenido y lo pegas aqui para que sea analizado. | |
|
|
|
