| Mephisto |  |
|
2005-10-26 09:18 - Respuestas: 15 - Tema nº: 2400402
Hola amigos,
La inquietud de hoy es acerca de la "Utilidad de configuración del sistema" (msconfig).
Sucede que hace lgún tiempo me infecté con un troyano (Spy.Agent.I). Gracias a Dios salí adelante rápido y sin pérdidas. Pero el bicho había logrado colarse en el grupo de inicio del sistema. Escribió entradas como "dmceu", "hclean32", "yaemu".
Luego de desarmar al bicho y limpiar el sistema dichas entradas permanecieron (y permanecen aún) en la ficha "Inicio" de la Utilidad de configuración del sistema (msconfig).
Anoto que no sirve buscarlos en la ruta descrita en la columna "Comando" (ficha Inicio) ni a través de la ruta de registro descrita en la columna "Ubicación", pues sus rutas están incompletas.
La pregunta es: Es posible eliminar esas entradas de la ficha Inicio del msconfig? Cómo se haría?
Saludos. | |
|
|
| tordanxa |  |
|
Re: Eliminar elementos del grupo Inicio - 2005-10-26 09:19 - Respuesta 2
Pasa a tu ordenador tu antivirus y los siguientes programas actualizados y en modo a prueba de fallos:
Spybot S&D
Ad-aware (pack de lenguajes )
CwShredder
El Ad-Aware pásalo con la opción Realizar exploración completa del sistema
Limpia el ordenador de archivos y entradas de registro innecesarias
EasyCleaner
Regcleaner
Y si aún así no has solucionado el problema el
HijackThis (Debes crear una carpeta y meter el exe allí). De este último programa puedes pegar el log aquí. scan and save log
Saludos
| |
|
|
| Mephisto | |
|
Re: Eliminar elementos del grupo Inicio - 2005-10-26 09:29 - Respuesta 3
Hola Rahel,
Gracias por responder con semejante celeridad (tal parece que tenías la respuesta redactada antes de formular la pregunta... uuf! que tecleas a velocidades de Fórmula 1.
Te cuento que de todo lo que ma aconsejas, me queda por hacer sólo lo del HijackThis pues casualmente todos los demás que mencionaste los tengo instalados y todos ya corrieron. Y como la molesta presencia y mal recuerdo de esas entradas persiste, entonces decidí postear.
Haré lo que me dices del Hijack This y pegaré el log aquí mismo mañana o ahora más tarde si el sueño me deja.
Saludos. | |
|
|
| tordanxa | |
|
Re: Eliminar elementos del grupo Inicio - 2005-10-26 09:47 - Respuesta 4
jajajaja, sí la respuesta estaba preparada
En el HijackThis se verá exactamente los problemas, el resto los puse por si acaso no los habías pasado.
Saludos | |
|
|
| Mephisto | |
|
Re: Eliminar elementos del grupo Inicio - 2005-10-26 12:07 - Respuesta 5
Hola de nuevo Rahel,
Para contar que además pasé (en todos los modos posibles del XP) el Trojan Remover y The Cleaner Professional, muy buenos ambos (Personalmente me quedó gustando el The Cleaner y da protección residente) y ninguno de los dos encuentra nada anómalo en el sistema ni vestigios de infección.
Bien, como me dijiste, aquí pongo el log del Hijack This y en el siguiente post pongo el "startup.log" del Hijack This... He quedao como al principio, pues no veo por donde hallar esos elementos para eliminarlos. Aquí va el log:
Logfile of HijackThis v1.99.1
Scan saved at 03:49:22 a.m., on 26/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\sm56hlpr.exe
C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Archivos de programa\The Cleaner\tcm.exe
C:\Archivos de programa\The Cleaner\tca.exe
C:\Archivos de programa\CursorXP\CursorXP.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\VsStat.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Archivos de programa\McAfee\McAfee VirusScan\Avconsol.exe
C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe
C:\wincmd\WINCMD32.EXE
c:\Temp\Hijack_This\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lauramonsalve.org/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F3 - REG:win.ini: run=
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Archivos de programa\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Archivos de programa\McAfee\McAfee VirusScan\VSCShellExtension.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [Agenda_Multisof] "C:\Archivos de programa\Multisof Tools\Agenda Multisof\AgendaMultisof.exe"
O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe
O4 - HKCU\..\Run: [CursorXP] C:\Archivos de programa\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Realizar la búsqueda utilizando Copernic Agent - C:\Archivos de programa\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Ejecutar Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Archivos de programa\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: McShield - Network Associates, Inc. - C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A ver qué encuentras, porque yo no veo naa.
Para no hacer este muy largo voy al siguiente post. | |
|
|
|
