Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
PortadaForo AyudaTutoriales
InicioForosForo Virus

No puedo eliminar Infeccion

dkpce
2008-09-12 00:00 - Respuestas: 9 - Tema nº: 2541618


Características: Windows XP Profesional 1 1/2 Giga, Sempron 3000, Rigido 80.

Hola, antes que nada muchas gracias por leerme.
Hace dias me entro el Virus 32 Heur o algo asi, y me quedaron ciertas secuelas, las cuales me estan haciendo lenta la Pc que lo noto cuando abro una carpeta y se demora en cargar los Iconos por ejemplo. Entiendo que tengo Giga y medio esta accion debe ser mas rapida.
Voy a poner unos logs actuales pero quiero decirles que ingrese en todos los modos posibles y nunca pude borrar el archivo infectado ni las entradas del Registro, no pude con ningun programa como el FileAssassin ni el Kill Box, tampoco pude hacerlo a mano entrando al regedit ni eliminar el DLL, porque parece que siempre esta en uso este ultimo, incluso entrando con simbolo de sistema.
Me gustaria saber si existe alguna posibilidad antes de proceder a un formateo.
Van los logs.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:13:57, on 08/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Safe mode with network support

Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\Explorer.EXE
C:\\Archivos de programa\\Trend Micro\\HijackThis\\HijackThis.exe

R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\\Archivos de programa\\AVG\\AVG8\\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\\Archivos de programa\\Java\\jre1.6.0_07\\bin\\ssv.dll
O2 - BHO: (no name) - {7D94C2F1-B662-420C-9583-DB1D7637E283} - c:\\windows\\system32\\pjzpyba.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\\Archivos de programa\\Archivos comunes\\Microsoft Shared\\Windows Live\\WindowsLiveLogin.dll
O4 - HKLM\\..\\Run: [MSConfig] C:\\WINDOWS\\pchealth\\helpctr\\Binaries\\MSCONFIG.EXE /auto
O4 - HKUS\\S-1-5-19\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'SERVICIO LOCAL\')
O4 - HKUS\\S-1-5-20\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Servicio de red\')
O4 - HKUS\\S-1-5-18\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'SYSTEM\')
O4 - HKUS\\.DEFAULT\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Default user\')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\\ARCHIV~1\\MICROS~2\\Office12\\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Archivos de programa\\Java\\jre1.6.0_07\\bin\\ssv.dll
O9 - Extra \'Tools\' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\\Archivos de programa\\Java\\jre1.6.0_07\\bin\\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\\WINDOWS\\bdoscandel.exe
O9 - Extra \'Tools\' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\\WINDOWS\\bdoscandel.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\\ARCHIV~1\\MICROS~2\\OFFICE11\\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe
O9 - Extra \'Tools\' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Archivos de programa\\Messenger\\msmsgs.exe
O9 - Extra \'Tools\' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Archivos de programa\\Messenger\\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\\Archivos de programa\\Yahoo!\\Common\\yinsthelper.dll
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-AR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205624574890
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1215017334921
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - http://80.25.119.24/activex/AMC.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - http://www.madriverweather.com:8888/activex/AMC.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\\Archivos de programa\\AVG\\AVG8\\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\\Archivos de programa\\SUPERAntiSpyware\\SASWINLO.dll


End of file - 5215 bytes

Malwarebytes\' Anti-Malware 1.26
Versión de la Base de Datos: 1103
Windows 5.1.2600 Service Pack 3

08/09/2008 21:36:40
mbam-log-2008-09-08 (21-36-37).txt

Tipo de examen : Examen Rápido
Objetos examinados: 45012
Tiempo transcurrido: 3 minute(s), 13 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 2
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects\\{7d94c2f1-b662-420c-9583-db1d7637e283} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\\CLSID\\{7d94c2f1-b662-420c-9583-db1d7637e283} (Trojan.BHO.H) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
c:\\WINDOWS\\system32\\pjzpyba.dll (Trojan.BHO.H) -> No action taken.

ACTIVE SCAN
ANALYSIS: 2008-09-08 22:51:20
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
PROTECTIONS
Des-c-r-i-p-tion Version Active Updated
AVG Anti-Virus 8.0 Yes Yes
MALWARE
Id Des-c-r-i-p-tion Type Active Severity Disinfectable Disinfected Location
00018331 adware/gator Adware No 0 Yes No HKEY_LOCAL_MACHINE\\software\\classes\\CLSID\\{21FFB6C0-0DA1-11D5-A9D5-00500413153C}
00018331 adware/gator Adware No 0 Yes No hkey_classes_root\\clsid\\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
SUSPECTS
Sent Location T

VULNERABILITIES
Id Severity Des-c-r-i-p-tion
Saludos





-


[Mensaje editado por tordanxa con fecha: 12-09-2008 06:20:14].
Posibles soluciones:
No puedo eliminar infeccionNo puedo eliminar infeccion
Eliminar infeccion pcEliminar infeccion pc
Eliminar infeccion de la pc (solucionado)Eliminar infeccion de la pc (solucionado)
InfeccionInfeccion
InfeccionInfeccion
tordanxa

Re: No puedo eliminar Infeccion - 2008-09-12 06:20 - Respuesta 2

Pasa a tu ordenador tu antivirus (o uno online: Panda Activescan ; ESET Online Scanner;
F-Secure Online Scanner
; Kaspersky Online Scanner ) y los siguientes programas actualizados y en modo a prueba de fallos:

SUPERAntiSpyware Free
Ad-Aware 2008 Free
Dr.Web CureIt! 4.44

El Ad-Aware pásalo con la opción Full Scan

Limpia el ordenador de archivos y entradas de registro innecesarias con el CCleaner

Y si aún así no has solucionado el problema el Trend Micro HijackThis

En este último programa debes de hacer lo siguiente:
1.- Descarga e instala el programa
2.- En Modo normal haz doble clic en dicho archivo
3.- Selecciona la opción do a system scan and save logfile
4.- Se abrirá una ventana y el bloc de notas. Pega el contenido de este último aquí (en este mismo post) para que podamos revisarlo.

Saludos
dkpce

Re: No puedo eliminar Infeccion - 2008-09-13 05:15 - Respuesta 3

Hola, gracias por responderme. Aca va el log despues de hacer todos los procesos.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:05:24, on 13/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\Archivos de programa\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Fast.exe
C:\ARCHIV~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7D94C2F1-B662-420C-9583-DB1D7637E283} - c:\windows\system32\pjzpyba.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-AR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205624574890
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1215017334921
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - http://80.25.119.24/activex/AMC.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - http://www.madriverweather.com:8888/activex/AMC.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe


End of file - 6086 bytes
Esto es imposible borrarlo O2 - BHO: (no name) - {7D94C2F1-B662-420C-9583-DB1D7637E283} - c:\windows\system32\pjzpyba.dll
No se si se borro los dos registros infectados pero ese archivo me vuelve loco.
Saludos
tordanxa

Re: No puedo eliminar Infeccion - 2008-09-13 07:36 - Respuesta 4

Cierra todos los programas (incluso el navegador). Ejecuta el HijackThis (Do a system scan only y marca las siguientes entradas, después las eliminas utilizando la opción Fix checked

O2 - BHO: (no name) - {7D94C2F1-B662-420C-9583-DB1D7637E283} - c:\windows\system32\pjzpyba.dll

Elimina los siguientes archivos o carpetas si las tienes (Debes de tener la opción mostrar todos los archivos y carpetas habilitada en opciones de carpeta):

c:\windows\system32\pjzpyba.dll
(si no puedes eliminarlo utiliza el Fileassassin, lo tienes en el propio superantispyware, en Preferences)

Pasa el ccleaner de nuevo para eliminar los archivos y entradas de registro innecesarias.
Reinicia y nos cuentas.
dkpce

Re: No puedo eliminar Infeccion - 2008-09-13 14:59 - Respuesta 5

Hola
Imposible, no lo borra, ni el Fileassassin, ni el HijackThis, ni entrando a modo a prueba de fallos ni simbolo de sistema ni nada. Al comienzo en el posteo habia aclarado todos estos intentos.
Y tambien hice varios escaneos on line.
Si te surge alguna alternativa, avisame! Graciassss
Página:1 Siguiente

Respuestas relacionadas:

Infeccion.Infeccion.Foro
InfeccionInfeccionForo
InfecciónInfecciónForo
Infeccion de mi usbInfeccion de mi usbForo
InfeccionInfeccionForo
¿infeccion?¿infeccion?Foro
InfeccionInfeccionForo
Infeccion en el pcInfeccion en el pcForo
Infeccion ipInfeccion ipForo
Posible infecciónPosible infecciónForo
InicioSecciones
^ SubirAviso legal
Política Privacidad
Configurarequipos23 Diciembre 2024