| TECH |  |
|
2011-01-10 09:31 - Respuestas: 12 - Tema nº: 2748136
Hola. Ya estamos de vuelta con los resultados:
Respondo primero a 'enrique1970'. Como dije, iba a descargar y utilizar el 'Spyware Terminator', y el 'Spybot S&D'.
El primero encontró un adware de nombre 'PriceGong' que según he podido indagar se trata de un 'comparador de precios' para compras online (otra bazofia de las muchas que descargó mi amiguete), 28 archivos que habían quedado en 'Datos de programa', su respectivo directorio y la clave del Registro a la que apuntaba. También 8 'Affiliate tracking cookies' insignificantes que suelen eliminarse en análisis de esta naturaleza. En total, 38 elementos.
Con 'Spybot S&D' ... pues nada relevante. En su análisis ha encontrado dos cookies que se eliminan perfectamente también con CCleaner: doubleclik.net y yieldmanager.com (entradas rojas). Cierto es que S-S&D brinda la posibilidad de inmunización (que ya lo he hecho) pero... no sé si dejárselo instalado a mi amigo. Tal vez lo deje (para futuras actuaciones por mi parte), pero no para que él lo use; me temo que no alcanzará a comprenderlo. :(
Respondiendo a 'zalxipio' y a 'jose195919', diré que la idea de reinstalar el Nod32 y luego desinstalarlo no es para nada descabellada. Fue una de las primeras cosas que pensé, pero quería 'probarme' haste qué punto era posible una limpieza/corrección de lo que actualmente tenía entre manos.
Visto que nada de lo que hacía daba resultados satisfactorios, opté por esta última solución...
Puesto que 'Centro de seguridad' hacía referencia a la versión 2.51 me aboqué a buscar esa versión... infructuosamente. Todo lo que veía en la web eran cracks y enlaces para descargar de un servidor (previo registro y/o envío de nº de teléfono o sms). Puesto que esto nunca me ha dado confianza (son trucos para engañar a incautos) terminé en Softonic donde SÍ se ofrecía la descarga gratuita de la versión 2.51.20 ... pero que finalmente instalaba la v.4.2.67.10 (versión de prueba por 30 días)...
'Centro de seguridad' informa ahora: "Eset NOD32 Antivirus 4.2 informa que está actualizado y que la detección de virus está activada.
Luego de utilizarlo para hacer análisis profundos (incluso en 'Modo seguro') me dispongo a desinstalarlo a ver qué ocurre...
... ... ... ... ... ... ... ... ...
¡EUREKA!!! La desinstalación resultó impecable. Eso sí: respetando al pie de la letra lo indicado en el soporte de ESET: http://kb.eset.com/esetkb/index?page=content&id=SOLN2289 es decir, NO utilizar el enlace en "Agregar o quitar programas" sino desde Inicio > Todos los programas > Eset > Uninstall.
Luego de reiniciar el sistema, 'Centro de seguridad' informaba (ahora sí) que no había instalado ningún programa antivirus.
Limpieza con CCleaner, nuevo análisis con Malwarebytes Anti-Malware (en 'Modo seguro'), desfragmentación profunda ayudado por 'Defraggler', nuevamente un CHKDSK y rematar todo con HijackThis, cuyo informe pego a continuación, ANTES de instalar el 'Avast! Free' que tengo pensado:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 7:23:42, on 10/01/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\snmp.exe
C:\Archivos de programa\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Rafael\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {29911ac1-cf44-449f-a459-e300266866a8} - (no file)
R3 - URLSearchHook: (no name) - {39dedeec-9eef-49a9-a8ae-a90fb869baa3} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {29911ac1-cf44-449f-a459-e300266866a8} - (no file)
O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
O2 - BHO: (no name) - {39dedeec-9eef-49a9-a8ae-a90fb869baa3} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Aplicación auxiliar de inicio de sesión de Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {29911ac1-cf44-449f-a459-e300266866a8} - (no file)
O3 - Toolbar: (no name) - {39dedeec-9eef-49a9-a8ae-a90fb869baa3} - (no file)
O3 - Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [nwiz] C:\Archivos de programa\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O15 - Trusted Zone: http://by105w.bay105.mail.live.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6770.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1173184831562
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CS2\Services\Tcpip\..\{3ECA17E1-4EF9-49D5-B8D7-FE3910056D8C}: NameServer = 80.58.61.250,80.58.61.254
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Archivos de programa\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: DDE de red (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Servicio SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Archivos de programa\Spyware Terminator\sp_rsser.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
End of file - 9024 bytes
Salvo opinión en contra, pienso darle FixChecked a las siguientes entradas:
R3 - URLSearchHook: (no name) - {29911ac1-cf44-449f-a459-e300266866a8} - (no file)
R3 - URLSearchHook: (no name) - {39dedeec-9eef-49a9-a8ae-a90fb869baa3} - (no file)
O2 - BHO: (no name) - {29911ac1-cf44-449f-a459-e300266866a8} - (no file)
O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
O2 - BHO: (no name) - {39dedeec-9eef-49a9-a8ae-a90fb869baa3} - (no file)
O3 - Toolbar: (no name) - {29911ac1-cf44-449f-a459-e300266866a8} - (no file)
O3 - Toolbar: (no name) - {39dedeec-9eef-49a9-a8ae-a90fb869baa3} - (no file)
O3 - Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
Bueno, eso es todo. Esperaré sus respuestas antes de instalar el 'Avast! Free'.
Muchas gracias por todo. Saludos. | |
|
|
| marinalope |  |
|
Re: Una instalación inexistente (solucionado) - 2011-01-10 11:52 - Respuesta 12
No se ve nada malo en el log,solo elimina las entradas que has puesto.
Cuando pongas una pregunta,recuerda refrescar la página para ver si has tenido alguna respuesta.Puedes hacerlo pulsando F5. | |
|
|
| TECH | |
|
Re: Una instalación inexistente (solucionado) - 2011-01-10 19:57 - Respuesta 13
Pues bien. Vamos a dar el tema por zanjado. :)
En efecto. He dado FixCkecked a las entradas mencionadas y a continuación (previo repaso con CCleaner, Malwarebytes, RegCleaner, Spyware Terminator y S-S&D) he instalado y registrado el 'Avast! Free v.5.1.864' con el que he realizado un análisis completo del sistema. Todo correcto.
Para terminar, otra vez CCleaner y desfragmentación completa con 'Defraggler'.
Realizado un nuevo CHKDSK /F /R y... ya está. Sistema OK en todos los sentidos.
Agradezco el apoyo y seguimiento que habéis tenido y sobre todo vuestra infinita paciencia y disposición.
Saludos a todos y... hasta la próxima! :) | |
|
|
|
