swissman | |
| 2007-08-14 06:56 - Respuestas: 11 - Tema nº: 2461909
-Deshabilita restaurar sistema
-Habilita la opción de mostrar todos los archivos y carpetas (desde herramientas del explorador de windows).
-Cierra todos programas, ejecuta HijackThis, pulsa el boton "do a scan system only", y marca los siguientes
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O21 - SSODL: wmpenv - {BBEBF63E-C799-4AC0-86E7-D783193E88A7} - C:\WINDOWS\wmpenv.dll
O21 - SSODL: wmpconf - {6BA8A300-1412-4CC4-9A20-C72AE9084210} - C:\WINDOWS\wmpconf.dll
pulsa el boton fix checked
sin reiniciar, busca en c:\windows y si estan, borra los archivos siguientes
wmpconf.dll
wmpenv.dll
pasa ccleaner, reinicia, vuelve a pegar el log del hijackthis
| |
|
|
JuanForesto | |
|
Re: Ayuda trojan.w32.looksky (Solucionado) - 2007-08-14 23:04 - Respuesta 7
hise todo lo que me dijeron, pero cuando llege al paso de eliminar los archivos wmpconf.dll y
wmpenv.dll la maquina no me permite eliminarlos, me dice que estan en uso.
aca va el log.
Logfile of HijackThis v1.99.1
Scan saved at 18:05:45, on 14/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\pavsrv51.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsCtrls.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PavFnSvr.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\system32\HPZipm12.exe
c:\archivos de programa\panda security\panda antivirus + firewall 2008\firewall\PSHOST.EXE
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\ApvxdWin.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\D-Tools\daemon.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Archivos de programa\PowerISO\PWRISOVM.EXE
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe
C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\WebProxy.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Juan\Escritorio\JuanMa\JuanMa\Virus y mantenimiento PC\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: MSVPS System - {47C54F02-1B28-45F1-AE46-B5CDFB6E7926} - C:\WINDOWS\duocore.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [PWRISOVM.EXE] "C:\Archivos de programa\PowerISO\PWRISOVM.EXE"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [tspcm] "C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FAEF97D-9ABE-4ABA-9935-FAA09F7F1078}: NameServer = 200.51.212.7 200.51.211.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{1FAEF97D-9ABE-4ABA-9935-FAA09F7F1078}: NameServer = 200.51.212.7 200.51.211.7
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O21 - SSODL: wmpconf - {A837CCA8-1768-4A67-9441-59EE8C2063AB} - C:\WINDOWS\wmpconf.dll
O21 - SSODL: wmpenv - {4D59BC0B-F108-40A5-8079-28A363B0A245} - C:\WINDOWS\wmpenv.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda security\panda antivirus + firewall 2008\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus + Firewall 2008\TPSrv.exe
gracias. | |
|
|
tordanxa | |
|
Re: Ayuda trojan.w32.looksky (Solucionado) - 2007-08-14 23:10 - Respuesta 8
Cierra todos los programas. Ejecuta el HijackThis (Do a system scan only y marca las siguientes entradas, después las eliminas utilizando la opción Fix checked
O2 - BHO: MSVPS System - {47C54F02-1B28-45F1-AE46-B5CDFB6E7926} - C:\WINDOWS\duocore.dll
O21 - SSODL: wmpconf - {A837CCA8-1768-4A67-9441-59EE8C2063AB} - C:\WINDOWS\wmpconf.dll
O21 - SSODL: wmpenv - {4D59BC0B-F108-40A5-8079-28A363B0A245} - C:\WINDOWS\wmpenv.dll
Elimina los siguientes archivos o carpetas si las tienes (Debes de tener la opción mostrar todos los archivos y carpetas habilitada en opciones de carpeta):
C:\WINDOWS\duocore.dll
C:\WINDOWS\wmpconf.dll
C:\WINDOWS\wmpenv.dll
Si no te deja eliminarlos utilliza el killbox (en la sección de programas lo tienes)
Pasa el ccleaner de nuevo para eliminar los archivos y entradas de registro innecesarias.
Descarga este archivo SmitFraudFix y lo descomprimes
Reinicia en modo a prueba de fallos
Ejecuta smitfraudfix.cmd
Selecciona la opción 2
Te preguntará si quieres limpiar el registro (Do you want to clean the registry ?) Di que Si
La herramienta comprobará si tienes el archivo wininet infectado, si lo está y te pregunta si lo quieres reemplazar le dices que si
Reinicia y vuelve a pegar el log del HIjackthis
saludos
| |
|
|
JuanForesto | |
|
Re: Ayuda trojan.w32.looksky (Solucionado) - 2007-08-14 23:33 - Respuesta 9
hice lo que me dijiste.
No pude eliminar los archivos, killbox no tengo asi que lo descargue, pero no puedo usarlo me dice que no es una aplicacion win32 valida.
y ya descargue SmitFraudFix. | |
|
|
tordanxa | |
|
Re: Ayuda trojan.w32.looksky (Solucionado) - 2007-08-14 23:41 - Respuesta 10
Bueno con el hijackthis también lo puedes hacer.
Pulsas sobre config y después sobre Misc Tools, verás una opción que pone Delete Files on reboot, buscas los archivos que quieres borrar y la marcas. Al reiniciar se deben de borrar
saludos
| |
|
|
|