| Abdel_arostegui |  |
|
2007-03-04 23:33 - Respuestas: 14 - Tema nº: 2438383
Características: Windows XP Profesional, 532 mb of ram , 111 gb , 2,53 ghz.
Hola nuevamente necesito de toda su ayuda si es posible, tengo Panda Platinum firewall \ antivirus 2007 ayer me descarge un archivo exe y le di ejecutar y resulta que el antivirus detecto una serie de virus , firewall y rootkit supuestamente estos han sido eliminados pero que va ser no puedo conectarme a internet me imagino que es por el mismo virus, cuando doy cltr mas alt mas suprimir me dice el administrador de tareas ha sido deshabilitado por un administrador, cuando quiero revisar el firewall de windows xp no me lo permite y me dice no se puede ejecutar solo tengo acceso a lo normal menos al internet, el puntero del mouse hace que esta cargando pero en realidad no esta cargando ya que la luz anarajanda no esta encendida del monitor, intente hacer una limpieza a full pero no lo logre ya que el spybot search destroy , me pide actualizarlo y como ven no tengo acceso a internet ..( yo ahorita estoy conectado desde otra pc), voy a a poner el log del hijack a ver que dice
| |
|
|
| mas |  |
|
Re: Virus muy raro - 2007-03-04 23:41 - Respuesta 2
Hola, has probado hacer una restauración a un día anterior al desastre, en accesorios, herramientas de sistema, restaurar el sistema, antes has un punto de restauración.
Ve a Inicio> Ejecutar> escribe regedit y dale a Aceptar.
Ve hasta: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
Verás uno con el nombre "DisableTaskMgr", haz doble clic, si tiene un 0 está deshabilitado, le pones un 1 y a ver si ya te funciona.
Otra forma:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\wallpaper ....
esta clabe establece un fondo de pantalla fijo
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL ....
esta clave evita que se tenga acceso a las propiedades de pantalla.
Revisa que no tengas nada asi en el registro. Ahora para evitar cambios se entra a "gpedit.msc" y revisa la entrada siguiente ....
configuracion de usuario\plantillas administrativas\escritorio\active descktop\
revisa que todos los elementos que te aperecen ahi te aperescan como "no configurado"
esos son los elementos que bloquean todos los aspectos que mencionaban. De hecho ahi les da una pequeña explicacion de lo que es cada uno.
De la parte que dice que deshabilita el administrador de tareas es otra entrada del registro que dice algo asi como "disabletasckmanager" algo por el estilo y tiene un valor decimal 1.
Sin embargo de este ultimo no estoy seguro de la clave, la busco y se las paso.
En windows home edition evidentemente no se pueden utilizar las directivas de grupo , en ese caso se tendria que entrar directamente al registro y cambiar las claves.
Entrando a directivas de grupo ejecutando "gpedit.msc" busca esta clave...
configuracion de usuario\plantillas administrativas\systema\opciones de ctrl + alt + sup
Ahi revisa que todos los elementos esten como "no configurado"
Cuando está deshabilitado: Mira también.
http://support.microsoft.com/kb/555546/es
Saludos | |
|
|
| Abdel_arostegui | |
|
Re: Virus muy raro - 2007-03-04 23:43 - Respuesta 3
aqui esta el log del hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 16:40:33, on 04/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\ABDEL\CONFIG~1\Temp\Rar$EX00.890\HijackThis.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cablenet.com.ni/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {871A54C1-1EB3-48bd-A879-5DBA4EF16BE6} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PsapiAnalyzer Object - {C7EB62D2-5C2D-4358-92DE-94CC31AEBCD2} - (no file)
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by116fd.bay116.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165258195545
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://evidenceeraserpro.com/landings-aff/bin/dv_es_ni_es/EEProInstallerES.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: keydll - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\TPSrv.exe
| |
|
|
| tordanxa |  |
|
Re: Virus muy raro - 2007-03-04 23:55 - Respuesta 4
Cierra todos los programas y marca estas entradas (después presiona fix checked)
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {871A54C1-1EB3-48bd-A879-5DBA4EF16BE6} - (no file)
O2 - BHO: PsapiAnalyzer Object - {C7EB62D2-5C2D-4358-92DE-94CC31AEBCD2} - (no file)
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://evidenceeraserpro.com/landings-aff/bin/dv_es_ni_es/EEProInstallerES.cab
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll
O20 - Winlogon Notify: keydll - C:\WINDOWS\
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll
Con la opción mostrar todos los archivos y carpetas activada, elimina estos archivos:
C:\WINDOWS\system32\a3dxq.dll
C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll
Descarga este programa http://www.configurarequipos.com/descargar-lspfix.html
Debería recuperar tu conexión
saludos | |
|
|
| Abdel_arostegui | |
|
Re: Virus muy raro - 2007-03-05 00:05 - Respuesta 5
C:\WINDOWS\system32\a3dxq.dll no lo pude eliminar ya que me dice que esta siendo usado por otra persona o programa y no tengo ningun programa abierto | |
|
|
|
