Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
PortadaForo AyudaTutoriales
Inicio Respuestas Virus

Virus ukash (Solucionada)

casama69
- 27/11/2011 10:22:10 - Pregunta nº.: 9.618

Windows XP

he tenido la mala suerte de recibir un virus de "la policia" que te exige el pago de 100€, leyendo un poco he conseguido eliminar los procesos y archivo de document sitting y Windows-_Prefect o algo así. Hasta ahí todo bien, el pc funciona bien y tengo acceso a todo y perfecto. Porblema, que no me carga la pantalla de inicio y el escritorio, cuando lo enciendo solo me sale la imagen que tengo de fondo de pantalla y el cursor del ratón, y por mas intentos que he hecho de restaurar, reiniciar. no hay manera, siempre me carga así.

Para poder hacer cosas he de entrar en el Administrador de Tareas ejecutar el explorador y de ahí accedera a los iconos que tengo en el escritorio, digo tengo por que están ahí y los puedo utilizar, pero no se muestran al iniciar el PC, ni los iconos, ni la barra de tareas, ni inicio de windows, nada de nada.

Si alguien me puede dar alguna pista de como hacer que se incie bien del todo lo agradeceria.

Por cierto, los archivos eliminados que hacian que saliera la imagen de "la policia" se llamaban mahmud y aswAr.

Gracias

#1 RoBoRooT (4.319 Posts) - 27/11/2011 12:53:18
Ve a inicio - ejecutar escribe cmd luego en la pantalla negra escribe msconfig y en la pestaña inicio o arranque ya no me acuerdo muy bien mira si tienes algún proceso raro desactivado o haz una captura y la subes a subirimagenes.com y nos lo pones, un saludo


quiero ser alcalde siempre debeis apuntar los codigos de error que se os muestran en pantalla para poder prestaros la mejor ayuda posible
siempre debeis proporcionar todos los datos posibles del problema, los datos del ordenador, la marca y el modelo, el sistema operativo que usais, el porque surgio el problema, si agregasteis algun componente al equipo ya sea hardware ,un disco duro, lectora, memoria . ,ya sea software, cualquier programa etc, así seguro que podremos resolver mejor el problema



Bajar - Subir
#2 casama69 (7 Posts) - 27/11/2011 22:38:12
Te comento, INICIO no lo tengo, tengo que hacer las cosas através del ctr+alt+supr, ahora, desde ahí si he ejecutado como me indicas cmd y me sale la pantalla negra, pero al poner ahí msconfig, no va, sale un mensaje de error. Aunque por lo que me indicas creo que querías llegar a esta imagen que adjunto que son los programas que se ejecutan al iniciar creo. Aunque claro, hay tanta cosa que yo no se lo que es raro y lo que no.

A ver si alguien que entiende ve algo \ "raro\ ".

http://www.subirimagenes.com/otros-pantallazo-7183986.html

Seguimos intentandolo.

ya me dices, gracias
Bajar - Subir
#3 casama69 (7 Posts) - 27/11/2011 22:40:21
Por cierto, se me olvidó decir que ya he probado restaurar con fecha anterior a la infección y hacer un escaneo total con el antivirus (avaast), pero no hay forma de que inicie de manera normal.
Bajar - Subir
#4 marinalope (25.539 Posts) - 28/11/2011 20:34:45
Deshabilita \ "ckvo.exe\ ".
Pasa al equipo Malwarebytes actualizado en modo seguro,análisis completo.
Descarga e instala el programa HijackThis.Lo ejecutas y le das en donde dice Do a system scan and save a log file.
Te generará un archivo de texto. Copia su contenido y lo pegas aqui para que sea analizado.


Cuando pongas una pregunta,recuerda refrescar la página para ver si has tenido alguna respuesta.Puedes hacerlo pulsando F5.





[Mensaje editado por Moderador marinalope con fecha: 28/11/2011 20:35:32].
Bajar - Subir
#5 casama69 (7 Posts) - 29/11/2011 01:11:35
No se si he hecho bien todos los pasos, no soy buen informatico. Me ha salidoel siguiente texto. Le quería comentar que en el modo a prueba de fallos me carga igual, es decir, sin escritorio, solo sale el cursor del ratón y he de accder a los programas con ctrl+alt+supr y ejecutar explorer.

gracias

Este es el texto:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 1:06:31, on 29/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
I:\ \ WINDOWS\ \ System32\ \ smss.exe
I:\ \ WINDOWS\ \ system32\ \ winlogon.exe
I:\ \ WINDOWS\ \ system32\ \ services.exe
I:\ \ WINDOWS\ \ system32\ \ lsass.exe
I:\ \ WINDOWS\ \ system32\ \ svchost.exe
I:\ \ WINDOWS\ \ System32\ \ svchost.exe
I:\ \ Archivos de programa\ \ AVAST Software\ \ Avast\ \ AvastSvc.exe
I:\ \ Archivos de programa\ \ Java\ \ jre6\ \ bin\ \ jqs.exe
I:\ \ WINDOWS\ \ system32\ \ nvsvc32.exe
I:\ \ WINDOWS\ \ system32\ \ svchost.exe
I:\ \ WINDOWS\ \ system32\ \ wbem\ \ wmiapsrv.exe
I:\ \ WINDOWS\ \ system32\ \ taskmgr.exe
I:\ \ WINDOWS\ \ explorer.exe
I:\ \ WINDOWS\ \ system32\ \ wuauclt.exe
I:\ \ Archivos de programa\ \ Mozilla Firefox\ \ firefox.exe
I:\ \ Archivos de programa\ \ Mozilla Firefox\ \ plugin-container.exe
I:\ \ WINDOWS\ \ system32\ \ ctfmon.exe
I:\ \ WINDOWS\ \ system32\ \ msiexec.exe
I:\ \ Archivos de programa\ \ Trend Micro\ \ HiJackThis\ \ HiJackThis.exe

R1 - HKCU\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Main,Search Page = ${URL_SEARCHPAGE}
R0 - HKCU\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Main,Start Page = http://www.google.es/
R1 - HKLM\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Search,SearchAssistant = http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4
R0 - HKCU\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Softonic ES Toolbar - {c2ed826e-8903-4a9d-b0df-3a8fb8ea918a} - I:\ \ Archivos de programa\ \ Softonic_ES\ \ prxtbSof0.dll
R3 - URLSearchHook: (no name) - {d82b1ec9-0d76-4f88-9fe6-4e92d2a8ea93} - (no file)
R3 - URLSearchHook: uTorrentBar_ES Toolbar - {db131c55-60c8-4adc-84dc-9e76ab06e2dc} - I:\ \ Archivos de programa\ \ uTorrentBar_ES\ \ prxtbuTo2.dll
F2 - REG:system.ini: Shell=I:\ \ Documents and Settings\ \ usuario\ \ Datos de programa\ \ mahmud.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\ \ Archivos de programa\ \ Adobe\ \ Acrobat 7.0\ \ ActiveX\ \ AcroIEHelper.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - I:\ \ Archivos de programa\ \ ConduitEngine\ \ prxConduitEngine.dll
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - I:\ \ Archivos de programa\ \ facemoods.com\ \ facemoods\ \ 1.4.17.6\ \ bh\ \ facemoods.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - I:\ \ Archivos de programa\ \ AVAST Software\ \ Avast\ \ aswWebRepIE.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\ \ Archivos de programa\ \ Archivos comunes\ \ Microsoft Shared\ \ Windows Live\ \ WindowsLiveLogin.dll
O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - I:\ \ ARCHIV~1\ \ WI371A~1\ \ Datamngr\ \ ToolBar\ \ searchqudtx.dll
O2 - BHO: SearchCore for Browsers - {9D717F81-9148-4f12-8568-69135F087DB0} - I:\ \ ARCHIV~1\ \ SEARCH~1\ \ SEARCH~1\ \ BROWSE~1.DLL
O2 - BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - I:\ \ Archivos de programa\ \ DealPly\ \ DealPlyIE.dll
O2 - BHO: Softonic ES - {c2ed826e-8903-4a9d-b0df-3a8fb8ea918a} - I:\ \ Archivos de programa\ \ Softonic_ES\ \ prxtbSof0.dll
O2 - BHO: uTorrentBar_ES - {db131c55-60c8-4adc-84dc-9e76ab06e2dc} - I:\ \ Archivos de programa\ \ uTorrentBar_ES\ \ prxtbuTo2.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - I:\ \ Archivos de programa\ \ Java\ \ jre6\ \ lib\ \ deploy\ \ jqs\ \ ie\ \ jqs_plugin.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: Softonic ES Toolbar - {c2ed826e-8903-4a9d-b0df-3a8fb8ea918a} - I:\ \ Archivos de programa\ \ Softonic_ES\ \ prxtbSof0.dll
O3 - Toolbar: uTorrentBar_ES Toolbar - {db131c55-60c8-4adc-84dc-9e76ab06e2dc} - I:\ \ Archivos de programa\ \ uTorrentBar_ES\ \ prxtbuTo2.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - I:\ \ Archivos de programa\ \ AVAST Software\ \ Avast\ \ aswWebRepIE.dll
O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - I:\ \ Archivos de programa\ \ facemoods.com\ \ facemoods\ \ 1.4.17.6\ \ facemoodsTlbr.dll
O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - I:\ \ ARCHIV~1\ \ WI371A~1\ \ Datamngr\ \ ToolBar\ \ searchqudtx.dll
O4 - HKLM\ \ .\ \ Run: [avast] \ "I:\ \ Archivos de programa\ \ AVAST Software\ \ Avast\ \ avastUI.exe\ " /nogui
O4 - HKLM\ \ .\ \ Run: [MSConfig] I:\ \ WINDOWS\ \ PCHealth\ \ HelpCtr\ \ Binaries\ \ MSConfig.exe /auto
O4 - HKLM\ \ .\ \ Run: [SkyTel] SkyTel.EXE
O4 - HKLM\ \ .\ \ Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\ \ .\ \ Run: [nwiz] nwiz.exe /install
O4 - HKLM\ \ .\ \ Run: [NvMediaCenter] RUNDLL32.EXE I:\ \ WINDOWS\ \ system32\ \ NvMcTray.dll,NvTaskbarInit
O4 - HKLM\ \ .\ \ Run: [NvCplDaemon] RUNDLL32.EXE I:\ \ WINDOWS\ \ system32\ \ NvCpl.dll,NvStartup
O4 - HKLM\ \ .\ \ Run: [NeroFilterCheck] I:\ \ WINDOWS\ \ system32\ \ NeroCheck.exe
O4 - HKLM\ \ .\ \ Run: [NBKeyScan] \ "I:\ \ Archivos de programa\ \ Nero\ \ Nero BackItUp 4\ \ NBKeyScan.exe\ "
O4 - HKLM\ \ .\ \ Run: [DATAMNGR] I:\ \ ARCHIV~1\ \ SEARCH~1\ \ SEARCH~1\ \ DATAMN~1.EXE
O4 - HKLM\ \ .\ \ Run: [asam] I:\ \ WINDOWS\ \ asam.exe
O4 - HKLM\ \ .\ \ Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\ \ .\ \ Run: [NSLauncher] I:\ \ Archivos de programa\ \ Nokia\ \ Nokia Software Launcher\ \ NSLauncher.exe /startup
O4 - HKLM\ \ .\ \ Run: [jidnnwwr] I:\ \ Documents and Settings\ \ usuario\ \ Configuración local\ \ Datos de programa\ \ ivtdcednd\ \ hbpuwartssd.exe
O4 - HKCU\ \ .\ \ Run: [ctfmon.exe] I:\ \ WINDOWS\ \ system32\ \ ctfmon.exe
O4 - HKCU\ \ .\ \ Run: [H/PC Connection Agent] \ "I:\ \ ARCHIV~1\ \ MI3AA1~1\ \ wcescomm.exe\ "
O4 - Startup: Adobe Gamma.lnk = I:\ \ Archivos de programa\ \ Archivos comunes\ \ Adobe\ \ Calibration\ \ Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = I:\ \ Archivos de programa\ \ Adobe\ \ Acrobat 7.0\ \ Reader\ \ reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://I:\ \ ARCHIV~1\ \ MICROS~2\ \ OFFICE11\ \ EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - I:\ \ ARCHIV~1\ \ MI3AA1~1\ \ INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\ \ ARCHIV~1\ \ MI3AA1~1\ \ INetRepl.dll
O9 - Extra \ 'Tools\ ' menuitem: Crear un favorito móvil. - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\ \ ARCHIV~1\ \ MI3AA1~1\ \ INetRepl.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\ \ ARCHIV~1\ \ MICROS~2\ \ OFFICE11\ \ REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\ \ WINDOWS\ \ Network Diagnostic\ \ xpnetdiag.exe
O9 - Extra \ 'Tools\ ' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\ \ WINDOWS\ \ Network Diagnostic\ \ xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\ \ Archivos de programa\ \ Messenger\ \ msmsgs.exe
O9 - Extra \ 'Tools\ ' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\ \ Archivos de programa\ \ Messenger\ \ msmsgs.exe
O16 - DPF: {2DAB6EF1-66C3-427C-87CD-8DC448C47EAE} (CtlTGVI Class) - https://www5.aeat.es/es13/h/tgvicab.cab
O16 - DPF: {947B00D2-962D-4A35-9E48-98EE6A442B41} (OAdedinet Class) - https://www1.agenciatributaria.gob.es/ADUA/internet/aded1503.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www2.agenciatributaria.gob.es/es13/h/cactivex.cab
O20 - AppInit_DLLs: I:\ \ ARCHIV~1\ \ SEARCH~1\ \ SEARCH~1\ \ datamngr.dll I:\ \ ARCHIV~1\ \ SEARCH~1\ \ SEARCH~1\ \ IEBHO.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - I:\ \ WINDOWS\ \ system32\ \ browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - I:\ \ WINDOWS\ \ system32\ \ browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - I:\ \ Archivos de programa\ \ Archivos comunes\ \ Adobe Systems Shared\ \ Service\ \ Adobelmsvc.exe
O23 - Service: avast! Antivirus - AVAST Software - I:\ \ Archivos de programa\ \ AVAST Software\ \ Avast\ \ AvastSvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - I:\ \ WINDOWS\ \ System32\ \ dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - I:\ \ Archivos de programa\ \ Java\ \ jre6\ \ bin\ \ jqs.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\ \ WINDOWS\ \ system32\ \ nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - I:\ \ WINDOWS\ \ System32\ \ SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - I:\ \ WINDOWS\ \ System32\ \ vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ wbem\ \ wmiapsrv.exe

--
End of file - 9389 bytes
Bajar - Subir
#6 swissman (39.814 Posts) - 29/11/2011 06:35:46
Si puedes, desinstala toda la porqueria que tienes, desde toolbars hasta el facemoods, lo de -, el skipe y lo de babylon, todo lo que no sea imprescinidible para que el pc trabaje.
luego(o antes) mira si te sirve esto

Virus policía española

si puedes también, haz una copia de seguridad de lo mas importante en un medio extraible.
Bajar - Subir
#7 casama69 (7 Posts) - 29/11/2011 23:17:43
Pues sí, llevas razón, con el tiempo se van acumulando programas basura que no sirven de asda solo para entorpecer mas el equipo. He quitado algunos, pero en fin, ese no es el problema que tengo. El virus ya lo eliminé por que no se vuelve a ejecutar, pero algo me ha dejado jodido (o lo he hecho yo sin darme cuenta), que no hay manera de que inicie normal cargando el escritorio y teniendo acceso a todo lo que aparece en un escritorio.

Me temo que si no hay arrgle lo mejor será reinstalar el Windows XP de nuevo.

Adjunto de nuevo el texto que me sale ahora:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:12:31, on 29/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
I:\ \ WINDOWS\ \ System32\ \ smss.exe
I:\ \ WINDOWS\ \ system32\ \ winlogon.exe
I:\ \ WINDOWS\ \ system32\ \ services.exe
I:\ \ WINDOWS\ \ system32\ \ lsass.exe
I:\ \ WINDOWS\ \ system32\ \ svchost.exe
I:\ \ WINDOWS\ \ System32\ \ svchost.exe
I:\ \ Archivos de programa\ \ AVAST Software\ \ Avast\ \ AvastSvc.exe
I:\ \ Archivos de programa\ \ Java\ \ jre6\ \ bin\ \ jqs.exe
I:\ \ WINDOWS\ \ system32\ \ nvsvc32.exe
I:\ \ WINDOWS\ \ system32\ \ svchost.exe
I:\ \ WINDOWS\ \ system32\ \ wbem\ \ wmiapsrv.exe
I:\ \ WINDOWS\ \ system32\ \ taskmgr.exe
I:\ \ WINDOWS\ \ system32\ \ wuauclt.exe
I:\ \ WINDOWS\ \ explorer.exe
I:\ \ Archivos de programa\ \ Mozilla Firefox\ \ firefox.exe
I:\ \ Archivos de programa\ \ Mozilla Firefox\ \ plugin-container.exe
I:\ \ WINDOWS\ \ system32\ \ ctfmon.exe
I:\ \ Archivos de programa\ \ Trend Micro\ \ HiJackThis\ \ HiJackThis.exe

R1 - HKCU\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Main,Search Page = ${URL_SEARCHPAGE}
R0 - HKCU\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Main,Start Page = http://www.google.es/
R1 - HKLM\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Search,SearchAssistant = http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4
R0 - HKCU\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {d82b1ec9-0d76-4f88-9fe6-4e92d2a8ea93} - (no file)
F2 - REG:system.ini: Shell=I:\ \ Documents and Settings\ \ usuario\ \ Datos de programa\ \ mahmud.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\ \ Archivos de programa\ \ Adobe\ \ Acrobat 7.0\ \ ActiveX\ \ AcroIEHelper.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - I:\ \ Archivos de programa\ \ ConduitEngine\ \ prxConduitEngine.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - I:\ \ Archivos de programa\ \ AVAST Software\ \ Avast\ \ aswWebRepIE.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\ \ Archivos de programa\ \ Archivos comunes\ \ Microsoft Shared\ \ Windows Live\ \ WindowsLiveLogin.dll
O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - I:\ \ ARCHIV~1\ \ WI371A~1\ \ Datamngr\ \ ToolBar\ \ searchqudtx.dll (file missing)
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - I:\ \ Archivos de programa\ \ AVG\ \ AVG10\ \ Toolbar\ \ IEToolbar.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - I:\ \ Archivos de programa\ \ Java\ \ jre6\ \ lib\ \ deploy\ \ jqs\ \ ie\ \ jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - I:\ \ Archivos de programa\ \ AVG\ \ AVG10\ \ Toolbar\ \ IEToolbar.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - I:\ \ Archivos de programa\ \ AVAST Software\ \ Avast\ \ aswWebRepIE.dll
O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - I:\ \ ARCHIV~1\ \ WI371A~1\ \ Datamngr\ \ ToolBar\ \ searchqudtx.dll (file missing)
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - I:\ \ Archivos de programa\ \ ConduitEngine\ \ prxConduitEngine.dll
O4 - HKLM\ \ .\ \ Run: [avast] \ "I:\ \ Archivos de programa\ \ AVAST Software\ \ Avast\ \ avastUI.exe\ " /nogui
O4 - HKLM\ \ .\ \ Run: [MSConfig] I:\ \ WINDOWS\ \ PCHealth\ \ HelpCtr\ \ Binaries\ \ MSConfig.exe /auto
O4 - HKLM\ \ .\ \ Run: [SkyTel] SkyTel.EXE
O4 - HKLM\ \ .\ \ Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\ \ .\ \ Run: [nwiz] nwiz.exe /install
O4 - HKLM\ \ .\ \ Run: [NvMediaCenter] RUNDLL32.EXE I:\ \ WINDOWS\ \ system32\ \ NvMcTray.dll,NvTaskbarInit
O4 - HKLM\ \ .\ \ Run: [NvCplDaemon] RUNDLL32.EXE I:\ \ WINDOWS\ \ system32\ \ NvCpl.dll,NvStartup
O4 - HKLM\ \ .\ \ Run: [NeroFilterCheck] I:\ \ WINDOWS\ \ system32\ \ NeroCheck.exe
O4 - HKLM\ \ .\ \ Run: [NBKeyScan] \ "I:\ \ Archivos de programa\ \ Nero\ \ Nero BackItUp 4\ \ NBKeyScan.exe\ "
O4 - HKLM\ \ .\ \ Run: [asam] I:\ \ WINDOWS\ \ asam.exe
O4 - HKLM\ \ .\ \ Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\ \ .\ \ Run: [jidnnwwr] I:\ \ Documents and Settings\ \ usuario\ \ Configuración local\ \ Datos de programa\ \ ivtdcednd\ \ hbpuwartssd.exe
O4 - HKLM\ \ .\ \ RunOnce: [removeSearchqudatamngr] cmd.exe /c RD /S /Q \ "I:\ \ Archivos de programa\ \ SearchCore for Browsers\ "
O4 - HKLM\ \ .\ \ RunOnce: [removeSearchqutoolbar] cmd.exe /c RD /S /Q \ "I:\ \ Archivos de programa\ \ Windows iLivid Toolbar\ \ Datamngr\ \ ToolBar\ "
O4 - HKCU\ \ .\ \ Run: [ctfmon.exe] I:\ \ WINDOWS\ \ system32\ \ ctfmon.exe
O4 - HKCU\ \ .\ \ Run: [H/PC Connection Agent] \ "I:\ \ ARCHIV~1\ \ MI3AA1~1\ \ wcescomm.exe\ "
O4 - Startup: Adobe Gamma.lnk = I:\ \ Archivos de programa\ \ Archivos comunes\ \ Adobe\ \ Calibration\ \ Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = I:\ \ Archivos de programa\ \ Adobe\ \ Acrobat 7.0\ \ Reader\ \ reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://I:\ \ ARCHIV~1\ \ MICROS~2\ \ OFFICE11\ \ EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - I:\ \ ARCHIV~1\ \ MI3AA1~1\ \ INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\ \ ARCHIV~1\ \ MI3AA1~1\ \ INetRepl.dll
O9 - Extra \ 'Tools\ ' menuitem: Crear un favorito móvil. - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - I:\ \ ARCHIV~1\ \ MI3AA1~1\ \ INetRepl.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\ \ ARCHIV~1\ \ MICROS~2\ \ OFFICE11\ \ REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\ \ WINDOWS\ \ Network Diagnostic\ \ xpnetdiag.exe
O9 - Extra \ 'Tools\ ' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\ \ WINDOWS\ \ Network Diagnostic\ \ xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\ \ Archivos de programa\ \ Messenger\ \ msmsgs.exe
O9 - Extra \ 'Tools\ ' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\ \ Archivos de programa\ \ Messenger\ \ msmsgs.exe
O16 - DPF: {2DAB6EF1-66C3-427C-87CD-8DC448C47EAE} (CtlTGVI Class) - https://www5.aeat.es/es13/h/tgvicab.cab
O16 - DPF: {947B00D2-962D-4A35-9E48-98EE6A442B41} (OAdedinet Class) - https://www1.agenciatributaria.gob.es/ADUA/internet/aded1503.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www2.agenciatributaria.gob.es/es13/h/cactivex.cab
O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - I:\ \ Archivos de programa\ \ AVG\ \ AVG10\ \ Toolbar\ \ IEToolbar.dll
O20 - AppInit_DLLs:
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - I:\ \ WINDOWS\ \ system32\ \ browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - I:\ \ WINDOWS\ \ system32\ \ browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - I:\ \ Archivos de programa\ \ Archivos comunes\ \ Adobe Systems Shared\ \ Service\ \ Adobelmsvc.exe
O23 - Service: avast! Antivirus - AVAST Software - I:\ \ Archivos de programa\ \ AVAST Software\ \ Avast\ \ AvastSvc.exe
O23 - Service: AVG Security Toolbar Service - Unknown owner - I:\ \ Archivos de programa\ \ AVG\ \ AVG10\ \ Toolbar\ \ ToolbarBroker.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - I:\ \ WINDOWS\ \ System32\ \ dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - I:\ \ Archivos de programa\ \ Java\ \ jre6\ \ bin\ \ jqs.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\ \ WINDOWS\ \ system32\ \ nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - I:\ \ WINDOWS\ \ System32\ \ SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - I:\ \ WINDOWS\ \ System32\ \ vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - I:\ \ WINDOWS\ \ system32\ \ wbem\ \ wmiapsrv.exe

--
End of file - 8658 bytes
Bajar - Subir
#8 casama69 (7 Posts) - 29/11/2011 23:20:33
Ah!, ya visité ese enlace cuando tenía el virus, me sirvió, aunque el mio iba con otros nombres, ya me lo cargué, pero algo se ha tenido que quedar tocado ya que no inica bien.

Gracias por los consejos.
Bajar - Subir
#9 swissman (39.814 Posts) - 30/11/2011 15:02:01
Haz una copia de seguridad de TODOS tus archivosm sobre todo los que esten en mis documentos y escritorio.

cierra todos los programas, navegador incluido, ejecuta hijackthis pulsando do a system scan only y marcas las siguientes entradas:
R0 - HKLM\ \ Software\ \ Microsoft\ \ Internet Explorer\ \ Search,SearchAssistant = http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4
R3 - URLSearchHook: (no name) - {d82b1ec9-0d76-4f88-9fe6-4e92d2a8ea93} - (no file)
F2 - REG:system.ini: Shell=I:\ \ Documents and Settings\ \ usuario\ \ Datos de programa\ \ mahmud.exe
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - I:\ \ Archivos de programa\ \ ConduitEngine\ \ prxConduitEngine.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - I:\ \ Archivos de programa\ \ AVAST Software\ \ Avast\ \ aswWebRepIE.dll
O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - I:\ \ ARCHIV~1\ \ WI371A~1\ \ Datamngr\ \ ToolBar\ \ searchqudtx.dll (file missing)
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - I:\ \ Archivos de programa\ \ AVAST Software\ \ Avast\ \ aswWebRepIE.dll
O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - I:\ \ ARCHIV~1\ \ WI371A~1\ \ Datamngr\ \ ToolBar\ \ searchqudtx.dll (file missing)
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - I:\ \ Archivos de programa\ \ ConduitEngine\ \ prxConduitEngine.dll
O4 - HKLM\ \ .\ \ Run: [avast] \ "I:\ \ Archivos de programa\ \ AVAST Software\ \ Avast\ \ avastUI.exe\ " /nogui
O4 - HKLM\ \ .\ \ Run: [asam] I:\ \ WINDOWS\ \ asam.exe
O4 - HKLM\ \ .\ \ Run: [jidnnwwr] I:\ \ Documents and Settings\ \ usuario\ \ Configuración local\ \ Datos de programa\ \ ivtdcednd\ \ hbpuwartssd.exe
O4 - HKLM\ \ .\ \ RunOnce: [removeSearchqudatamngr] cmd.exe /c RD /S /Q \ "I:\ \ Archivos de programa\ \ SearchCore for Browsers\ "
O4 - HKLM\ \ .\ \ RunOnce: [removeSearchqutoolbar] cmd.exe /c RD /S /Q \ "I:\ \ Archivos de programa\ \ Windows iLivid Toolbar\ \ Datamngr\ \ ToolBar\ "

pulsa fix checked, sin reiniciar busca y borra lo siguiente (habilita la opción de ver archivos y carpetas ocultos). si alguno no se deja usa killbox o unlocker, o ambos

I:\ \ Documents and Settings\ \ usuario\ \ Datos de programa\ \ mahmud.exe
I:\ \ Archivos de programa\ \ ConduitEngine--->carpeta y contenido
I:\ \ WINDOWS\ \ asam.exe
I:\ \ Documents and Settings\ \ usuario\ \ Configuración local\ \ Datos de programa\ \ ivtdcednd--->carpeta y contenido
I:\ \ Archivos de programa\ \ Windows iLivid Toolbar---->carpeta y contenido


pasa ccleaner, para limpiar los temporales y cokies y registro, y jv16 PowerTools 2008

reinicias y nos dices que tal va, pegas un nuevo log.

si sigue mal, puedes pasar el combofix, auqnue yo iria de cabeza a formatear el equipo.

saludos
Bajar - Subir
#10 casama69 (7 Posts) - 01/12/2011 08:17:14
¡¡¡BINGO!!!

No he hecho todo lo que me indicas, y sinceramente, no se si hubiera podido ser capaz, muchos pasos, tareas, y programas que desconozco. Pero sí me ha servido para darme cuenta que me indicabas que borrara I:\ \ \ \ Documents and Settings\ \ \ \ usuario\ \ \ \ Datos de programa\ \ \ \ mahmud.exe , y claro, me ha llamado mucho la atención, ya que el fichero mahmud.exe (yo le diaria más bien ---- -perdón por la palabra un poco fuera de tono) lo eliminé yo \ "a pelo\ " de dicha ubicación, pero por el motivo que sea parece que se regeneraba, o aparecía o yo que se., pero ahí estaba de nuevo el jodio dando la vara aunque fuese \ "a medio gas\ ".

Me he instalado los programas killbox y unlocker para intentar borrarlo, pero seguía sin aparecer nada de mahmud. Me parecía raro, he vuelto a ejecutar hijackthis y generar de nuevo el listado de información, y ahí estaba de nuevo el jodio mahmud. He seleccionado esa línea, le he dado a no se que (ya no me acuerdo) y lo he borrado. Seguidamente he apagado e iniciado, y.¡¡¡BINGO!!!, ya tengo un escritorio normal con mis ficheros, papelera, mi pc, acceso a inicio, barra de tareas.

En fin, estas cosas de la informática son así, o sabes mucho, o con ayuda, paciencia y suerte sales \ "palante\ ", o simplemente te jodes. En este caso, y gracias a este foro y quienes me habéis ayudado, lo he podido solucionar. Aunque no se si las horas que le he echado intentando arreglarlo valían más de los 100 euros que pedían.jejeje

Sinceramente,
MUCHAS GRACIAS A TOD@S!!
Bajar - Subir
#11 swissman (39.814 Posts) - 01/12/2011 10:41:30
Un formateo no vale 100€, ademas, en la seccion de tutoriales, los hay que te muestran como formatear.
de todas formas, te recomiendo que elimines las entradas que te señalo del hijackthis, y por supueto, que tengas copias de seguridad de las cosas irrecuperables, cuantas más y más repartidas,mejor.
saludos
Bajar - Subir

Temas relacionados:

Nueva mutación del virus de la Policía( Ukash)
Bueno, ayer encendí mi ordenador y me encuentro con el famoso virus. El ordenador está viejo y lo usa mi hermano y alguna vez ya lo había quitado restaurando, pero de esta vez no deja restaurar, ni entrar en modo seguro y el colmo es que ni siquiera deja entrar en símbolo de sitema!! Estoy intentando iniciarlo desde un cd con el avira pero no estoy segura de que vaya funcionar. Alguna solución más por favor? No me voy a rendir y formatear, JÁ, el virus este no nos va a ganar. Windows 7, Acer del 2005. ...
Ukash virus - lo he arreglado asi - solucion para windows 7
WINDOWS 7 - PORTATIL DELL Sintoma: Al arrancar Windows 7, una enorme pantalla te cubre todo el desktop y no te deja hacer apenas nada, diciendote que eres un terrorista y un pederasta y bla bla y que pagues Solución: 1. Pulsamos ALT+CTRL+SUPR 2. Escogemos la opción USER LOGOFF 3. Durante el LOGOFF, el sistema detecta que hay alguna tarea abierta y pregunta si realmente queremos hacer LOGOFF, a lo cual inmediatamente respondemos con CANCELAR. Haciendo esto, el LOGOFF mata la ventana maliciosa y por lo menos nos deja abrir alguna cos...
Ukash - polifix - tecla fn no funciona
Toshiba 660 - windows 7 Hola, Hace unos días me apareció el pantallazo de UKASH, encontré el POLIFIX y me solucionó el problema. Desde entonces no me funciona la tecla Fn. Además al iniciar no se cargan los gadgets, ni arranca el karpersky, debo hacerlo manualmente, intuyo que al ejecutar el POLIFIX, éste modificó algo del inicio. ¿Alguien sabria ayudarme? Muchas gracias ...
Es x10nets.exe un virus? (Solucionada)
Windows Vista (6.0) 32b, Firefox 17.0 Hola, el problema que tengo es que el portatil de repente empezo a ir super lento, y mirando en los procesos activos, vi que el famoso \"x10nets.exe\" me consumia el 100%. Lo pare y el portatil empezo a ir bien de nuevo, y conectaba a internet sin problemas, cosa que antes no conseguia, a pesar de que el ADSL funciona perfectamente. Quisiera saber si \"x10nets.exe\" es un virus y si es así como eliminarlo. Pase Malawarebytes, eset y at destroyer. Si no es un virus, como puedo solucionar el problema? ...
Eliminar virus (Solucionada)
Windows Vista (6.0) 32b, Microsoft Internet Explorer 9.0 desde hace unos dias mi antivirus detecta intermitentemente varios virus tipo troyano, según pone en tiempo real alojados en . appdata\\local\\4da34841\\u\\800000.@ , $, etc. el caso es que los pone en cuarentena, los elimino y siguen apareciendo insistentemente, he intentado quitarlos manualmente con el explorador de windows pero es imposible . siguen apareciendo, igualmente tampoco dió resultado pasar varias veces el antiviurs ni el programa ccleaner, agradecería alguna sugerencia. ...
Foros: Virus
Subir

Foros:


Foro ADSL

Foro Android

Foro Antivirus

Foro Comunidad

Foro Consolas

Foro Debate

Foro Facebook

Foro Hardware

Foro Hotmail

Foro iPad
Foro iPhone

Foro Juegos

Foro Linux

Foro Móviles

Foro Opiniones

Foro Tablet

Foro Whatsapp

Foro Windows

Foro Windows 7

Foro Windows 8
InicioSecciones
^ SubirAviso legal
Política Privacidad
Configurarequipos20 Diciembre 2024