| Hollowlife |  |
|
2007-06-19 21:40 - Respuestas: 10 - Tema nº: 2453746
Características: Windows XP Profesional, memoria 256 mb disco duro de 40gb ....
el problema es este:
hace ya unos meses mi pc se infecto con unv irus que me desavilito todas las ejecuciones de programas con extencion .exe, no podia abrirlos solo que estubieran en .zip o .rar.
ahora es casi lo mismo pero ya ni eso ya le pase antivirus como el norton antivirus 2004, ewido online, AVG antispyware 7.5.0.50, AVG 7.5, Avast! 4.7 y le pase el SUPERAntispyware tambien el Regseeker y el CClean pero mi pc sigue igual el EWIDO ONLINE si me decto virus y spywares pero no los borro al igual que los demas pero = no los borran cuando reinicio se vuelven a restaurar los virus hace un momento meti los programas que tenian accesos indirectos a una carpeta ejecute el SUPERAntispyware y el Hijackthis y al minimizar todos los programas volvieron ha aparecer en el escritorio
la verdad es que ya no se que hacer no puedo abrir ni el Administrador de tareas ya lo abilite desde el GPEDIT.MSC y nada no abre ni el cmd.exe ni nada solo programas que recien aya istalado pero al reiniciarse me los vuelve accesos indirectos aqui les dejo el log del hijackthis para ver si de algo sirve ya identifike algunos procesos que no me gustan para nada pero = no los puedo terminar ahy algunos logs que me dio el hijackthis y ya los elimine y no se borrar el SUPERAntispyware me detecta los adwares y cookies pero solo borra los cookies los adwares siguen ahy me los marca con paloma verde.
recientemente me di cuenta que existia este proceso que se me hizo muy raro nunca lo avia visto es este
C:\WINDOWS\system32\tbpuublu.exe
y este que inicia con windows que se me hace raro anteriormente de repente se ejecutaba varias veces es un dll pero me lo marca como .exe
[GPLv3] rundll32.exe "C:\WINDOWS\system32\lsxhjpow.dll",realset
bueno aqui esta el log del hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 01:58:52 p.m., on 19/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\tbpuublu.exe
C:\Archivos de programa\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ircfast.com/index.php?rvs=hompag
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system\execute.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\lsxhjpow.dll",realset
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-MX/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: .n20ohibruan - - (no file)
O23 - Service: Arca Eclipse - Unknown owner - C:\Program Files\Arca Eclipse\arca3.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Unknown owner - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:\Documents and Settings\famgc\Escritorio\anti\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Source Engine\OSE.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
| |
|
|
| tordanxa |  |
|
Re: Mi pc sigue de reina o.o - 2007-06-19 21:49 - Respuesta 2
Cierra todos los programas. Ejecuta el HijackThis (Do a system scan only y marca las siguientes entradas, después las eliminas utilizando la opción Fix checked
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system\execute.exe
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\lsxhjpow.dll",realset
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs:
O23 - Service: .n20ohibruan - - (no file)
Finaliza este proceso:
tbpuublu.exe
Elimina los siguientes archivos o carpetas si las tienes (Debes de tener la opción mostrar todos los archivos y carpetas habilitada en opciones de carpeta):
C:\WINDOWS\system32\tbpuublu.exe
C:\WINDOWS\system\execute.exe
C:\WINDOWS\system32\lsxhjpow.dll",
Haz una limpieza de archivos y entradas de registro innecesarias con el ccleaner
Reinicia
Descarga este archivo SmitFraudFix
Lo descomprimes y haces doble clic en smitfraudfix.cmd , en el menú que sale selecciona la opción 1 y pegas el informe que se generará y que encontrarás en el archivo: C:\rapport.txt
Saludos
___________
| |
|
|
| Hollowlife | |
|
Re: Mi pc sigue de reina o.o - 2007-06-20 00:09 - Respuesta 3
bueno mira ya hize todo pero algunas cosas no puedo hacer por que no puedo ejecutarlas.
en lo del log de hijackthis este no se borro
O23 - Service: .n20ohibruan - - (no file)
me salio este mensage:
|-
An unexpected error has occurred at procedure: modMain_FixOther23Item(sItem=O23 - Service: Arca Eclipse - Unknown owner - C:\Program Files\Arca Eclipse\arca3.exe)
Error #5 - Llamada a procedimiento o argumento no válidos
Please email me at merijn@spywareinfo.com, reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible
Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.99.1
This message has been copied to your clipboard.
Click OK to continue the rest of the scan.
|-
ahora estos no se pudieron eliminar
termine proceso con el RunAlizer pues no puedo ejecutar el Admon de tareas pero se ejcuta rapidamente -
C:\WINDOWS\system32\tbpuublu.exe
si se encuentra pero no lo puedo borrar
C:\WINDOWS\system\execute.exe
este no se encuentra en la carpeta -
C:\WINDOWS\system32\lsxhjpow.dll",
Este no lo puedo eliminar por que me dice que esta ciendo usado por otra persona o no tengo los permisos apropiados -
Ya hize lo del CClean
el | |
|
|
| tordanxa | |
|
Re: Mi pc sigue de reina o.o - 2007-06-20 00:11 - Respuesta 4
Haz lo del SmitFraudFix
saludos | |
|
|
| Hollowlife | |
|
Re: Mi pc sigue de reina o.o - 2007-06-20 00:14 - Respuesta 5
no salio lo ultimo esto es lo que queria decir
"El SmitFraudFix no lo puedo ejecutar por que no puedo ejecutar el Simbolo del Systema" | |
|
|
|
