| tordanxa |  |
|
2007-09-30 13:11 - Respuestas: 119 - Tema nº: 2472484
Cierra todos los programas. Ejecuta el HijackThis (Do a system scan only y marca las siguientes entradas, después las eliminas utilizando la opción Fix checked
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Elimina los siguientes archivos o carpetas si las tienes (Debes de tener la opción mostrar todos los archivos y carpetas habilitada en opciones de carpeta):
c:\archivos de programa\bulletproofsoft.com (mira primero a ver si lo tienes en agregar/quitar programas)
Utiliza el LSP-Fix para eliminar las entradas del bulletproofsoft.com. Pincha AQUÍ
Pasa el ccleaner de nuevo para eliminar los archivos y entradas de registro innecesarias.
Reinicia y nos cuentas.
saludos | |
|
|
| mgmerlyn |  |
|
Re: Tengo un virus gay - 2007-09-30 20:34 - Respuesta 32
En principio ya tengo el administrador de tareas ( activo de nuevo ), ya puedo borrar todos los programas innecesarios.
Ahora mismo hare lo que me dices.
Me desconecto de internet.
Eliminacion de todos los programas innecesarios
1 Paso : "......... Cierra todos los programas ......".
En el administrador de tareas estan corriendo:
aawservice.exe
ad-aware.exe
alg.exe
ashdisp.exe
ashwebsv
aswupdsv
cmd
csrss
dllhost
explorer
explorer
iexplorer
issch
locator
lsass
mysqld-nt
notepad
nvsvc32
pnkbtrA
proceso inactivo
rundll
services.exe
smss.exe
snmp.exe
superantispyware
svhost (*5)
system
taskmgr.exe
winlogon
wscntfy
Asi que elimino del administrador de tareas:
aawservice.exe
ad-aware.exe
alg.exe
ashdisp.exe
ashmail
ashwebSv
aswupdSv
locator
issch
mysq-nt
pnkbtrA
nvsvc32
servicelayer
snmp
superantispyware
wscntfy
quedando solo ( pq no me los deja quitar):
csrss
dllhost
explorer
iexplore
lsass
notepad
proceso inactivo del sistema
rundll32
services
smss
svhost (*5)
system ( de este yo desconfio y mucho... )
taskmgr
winlogon
wscntfy
2 Paso: Ejecucion del HijackThis
Eliminacion de la entrada correspondiente:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Ejecuto de nuevo el scan de HijackThis y ya no aparece dicha entrada.
3Paso: Esta es mas complicada.
" ..........
c:\archivos de programa\bulletproofsoft.com (mira primero a ver si lo tienes en agregar/quitar programas)
Utiliza el LSP-Fix para eliminar las entradas del bulletproofsoft.com. Pincha AQUÍ
........... "
- 3.1 Primero " .... (mira primero a ver si lo tienes en agregar/quitar programas) ..."
No puedo ejecutar esa opcion ya que me aparece el mensaje : " tiene que consultar con el administrador "
Asi que paso directamente a eliminar la carpeta.
Comentario: No se pero me da la impresion de que estoy borrando un anti-spy que es el
BPS Spyware & Adware Remover.
Tengo otros varios instalados en el ordenador.
- Reinicio porque me dice que no la puede borrar debido al archivo: Apptoport.dll
- Entro en modo a prueba y tampoco , asi que reinicio, entro en modo normal y elimino toda la aplicacion escepto los ficheros AppToPort.dll y ContextMenu.dll
- De admnistrador de tareas y saco todas las aplicaciones posibles, dejando solo:
wscntfy.exe
taskmgr.exe
explorer.exe
svchost.exe
dllhost.exe
notepad.exe
svchost.exe ( * 5 , alguno en servicio de red y otros system )
lsass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
system (Me da que aqui esta el troyano)
- 3.2 Ejecuto el LSPFix.
La entrada Apptoport.dll eliminada con exito .
La entrada contextMenu.dll no encontrada.
== No problem found ==
Existen otras como:
-mswsock
-winrnr
-wshbth
-imon.dll
-rsvpsp.dll
- Paso el regcleaner :
Elimino todos los registros:
El unico que hay es el del LSPFix ( eliminado )
- Paso el Ccleaner: Me elimina 95 MB en entradas
Me sale un mensaje :
" RUNDLL
Error en InetCpl.cpl
Falta entrada:ClearMyTracksByProcess
"
-Bien reinicio y os envio el post.
P.D: Estare espectante a cada respuesta que me deas, mientras sigo leyendo cosas en configurar equipos de lo mas interesante como las ACLs.
| |
|
|
| tordanxa | |
|
Re: Tengo un virus gay - 2007-09-30 21:41 - Respuesta 33
Yo no te he dicho que elimines los programas innecesarios, no he mirado, pero has cerrado procesos que no son nada peligrosos y alguno necesario.
Vuelve a pegar el log
saludos
| |
|
|
| mgmerlyn | |
|
Re: Tengo un virus gay - 2007-09-30 23:15 - Respuesta 34
Cada vez que te pego el log del HijackThis v2.0.2 tengo que ejecutar previamente el SmitFraudFix v2.119 . Pregunto.
Log del SmitFraudFix v2.119 :
SmitFraudFix v2.119
Scan done at 23:01:06,20, 30/09/2007
Run from C:\Documents and Settings\MERLYN\Escritorio\probando\hoy_30_9\SmitfraudFix
OS: Microsoft Windows XP [Versi¢n 5.1.2600] - Windows_NT
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{240E2B94-741E-4513-B66A-60EC26A9EF26}"="IE Browseui preloader"
[HKEY_CLASSES_ROOT\CLSID\{240E2B94-741E-4513-B66A-60EC26A9EF26}\InProcServer32]
@="%SystemRoot%\system32\ieframe.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{240E2B94-741E-4513-B66A-60EC26A9EF26}\InProcServer32]
@="%SystemRoot%\system32\ieframe.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{240E2B94-741E-4513-B66A-60EC26A9EF26}"="IE Browseui preloader"
[HKEY_CLASSES_ROOT\CLSID\{240E2B94-741E-4513-B66A-60EC26A9EF26}\InProcServer32]
@="%SystemRoot%\system32\ieframe.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{240E2B94-741E-4513-B66A-60EC26A9EF26}\InProcServer32]
@="%SystemRoot%\system32\ieframe.dll"
»»»»»»»»»»»»»»»»»»»»»»»» End
Log del HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:09:09, on 30/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5112.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: eng-spa - C:\Archivos de programa\LingvoSoft\LingvoSoft Talking Dictionary 2007 (English-Spanish) for Windows\Plugins\IE.htm
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: EnglishSpanish - {9F42BC82-2C45-6B4B-9C07-0E2F0BD15D5F} - C:\Archivos de programa\LingvoSoft\LingvoSoft Talking Dictionary 2007 (English-Spanish) for Windows\Plugins\IE.htm
O9 - Extra 'Tools' menuitem: eng-spa - {9F42BC82-2C45-6B4B-9C07-0E2F0BD15D5F} - C:\Archivos de programa\LingvoSoft\LingvoSoft Talking Dictionary 2007 (English-Spanish) for Windows\Plugins\IE.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{89FF8DD2-0E55-45A1-9005-785B3038FC67}: NameServer = 62.81.31.250,62.37.225.57
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\stdole32.dat
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: IE Browseui preloader - {240E2B94-741E-4513-B66A-60EC26A9EF26} - C:\WINDOWS\system32\ieframe.dll
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySQL - Unknown owner - C:\AppServ\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
End of file - 6365 bytes
Por cierto tal como lo veo yo , ya tengo habilitado el regedit y el admninistrador de tareas.
P.D:Perdona mi falta de entendimiento sobre tal ardua tarea e ignorancia sobre este nivel de la informatica. Intento seguir tus pasos fielmente.
P.D2: Ahora el explorar no me va, asi que te posteo desde el firefox y cada vez que me conecto a internet el avast me detecta un virus : win32:porndialg.exe
Gracias por la labor que estais o estas realizando. | |
|
|
|
