| Bowen1 |  |
|
2008-02-22 16:51 - Respuestas: 3 - Tema nº: 2502801
Características: Windows XP Profesional, 240mb de ram, amd athlon 1.20ghz, 19.5gb.
aca te dejo el log de lo ultimo que me salio, soy nuevo en este foro disculpen las molestias y si cometo algun error respecto de las normas del foro comuniquenlo, desde ya muchas gracias
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56:06 p.m., on 22/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\Archivos de programa\Copernic Agent\Web\SearchBar.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ar.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.secyt.gov.ar:8080;http=proxy.secyt.gov.ar:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Archivos de programa\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [3cedb3d5] rundll32.exe "C:\WINDOWS\system32\otfhcgsj.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Realizar la búsqueda utilizando Copernic Agent - C:\Archivos de programa\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\Archivos de programa\Copernic Agent\CopernicAgent.exe
O9 - Extra 'Tools' menuitem: Ejecutar Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\Archivos de programa\Copernic Agent\CopernicAgent.exe
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\Archivos de programa\Copernic Agent\CopernicAgent.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198170035464
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E3146E9-132D-42AB-967A-72B91C4ADA37}: NameServer = 200.9.244.4,200.9.244.6
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
End of file - 3768 bytes
| |
|
|
| Hurricane |  |
|
Re: Reinicio y vuelve a aparecer el virus - 2008-02-22 16:56 - Respuesta 2
Inicia tu PC en Modo Seguro, ejecuta el HijackThis, clickea sobre el Botón Do a system scan only y marca las siguientes entrada:
HKLM\System\CCS\Services\Tcpip\..\{9E3146E9-132D-42AB-967A-72B91C4ADA37}: NameServer = 200.9.244.4,200.9.244.6
y clickea sobre Fix Checked. Elimina el archivo C:\WINDOWS\system32\otfhcgsj.dll y realiza una limpieza del Registro con el RegSeeker (Clean the Registry - Auto Clean - GO); luego, pásale el CCleaner.
Cuéntanos las novedades. Saludos
HURRICANE
| |
|
|
| Bowen1 | |
|
Re: Reinicio y vuelve a aparecer el virus - 2008-02-23 00:25 - Respuesta 3
hice lo que me dijiste pero el problema sigue, el regseeker se me colgo no me lo deja terminar de pasar. No pude responder rapido debido a que al borrar el archivo me quede sin conexion a internet y nunca mas pude volver a conectarla ahora estoy en otra pc. Se me crearon varios archivos tmp denominados pos la mayoria de ellos que no los puedo eliminar use el killbot pero me borra de a uno y son mas de 10mil :S. Por ultimo en el escritorio se me aperecieron dos archivos windows update y help support....que a esos dos no los pude borrar ni con el killbot se vuelven a crear. Desde ya muchas gracias espero alguna ayuda!
PD: como vuelvo a poner la conexion? | |
|
|
| tordanxa |  |
|
Re: Reinicio y vuelve a aparecer el virus - 2008-02-23 00:29 - Respuesta 4
Cierra todos los programas. Ejecuta el HijackThis (Do a system scan only y marca las siguientes entradas, después las eliminas utilizando la opción Fix checked
O4 - HKLM\..\Run: [3cedb3d5] rundll32.exe "C:\WINDOWS\system32\otfhcgsj.dll",b
Elimina los siguientes archivos o carpetas si las tienes (Debes de tener la opción mostrar todos los archivos y carpetas habilitada en opciones de carpeta):
C:\WINDOWS\system32\otfhcgsj.dll",b
Pasa el ccleaner de nuevo para eliminar los archivos y entradas de registro innecesarias.
Reinicia y nos cuentas.
| |
|
|
|
