| Ghoul |  |
|
2005-03-30 05:34 - Respuestas: 3 - Tema nº: 31029
Buenas a todos!
Esta tarde el pc ha empezado a abrir pop ups y ventanas del tipo search results for...
el maxthon se me ha quedado colgado varias veces y todo va muy lento en general.
Aqui os dejo el log del Hackthis a ver si me podeis echar una mano!!
Logfile of HijackThis v1.99.1
Scan saved at 4:30:59, on 30/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\Archivos de programa\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Mixer.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Iomega\AutoDisk\ADUserMon.exe
C:\Archivos de programa\Iomega\DriveIcons\ImgIcon.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Free Download Manager\fdm.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe
C:\ARCHIV~1\Iomega\System32\AppServices.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Iomega\AutoDisk\ADService.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\Maxthon\Maxthon.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\downloads\HijackThis.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ADUserMon] C:\Archivos de programa\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Archivos de programa\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Archivos de programa\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 9 run
O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [Anti Spyware] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitexuc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Archivos de programa\Free Download Manager\fdm.exe -autorun
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RealDownload.lnk = C:\Archivos de programa\Real\RealDownload\Realdownload.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Archivos de programa\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Archivos de programa\Yahoo!\Common/ycdict.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.line6.net
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7E13689-8609-47C1-9B9A-9022A0D3D01C}: NameServer = 80.58.61.250 80.58.61.254
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\ARCHIV~1\Iomega\System32\AppServices.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Archivos de programa\Iomega\AutoDisk\ADService.exe
Disculpas anticipadas en caso de que este post sea demasiado repetitivo, he estado un buen rato mirando otros parecidos, pero no he logrado solucionar el problema.
Saludos! | |
|
|
| Trilobite |  |
|
Re: Pc infectado, echadme una mano pf. - 2005-03-30 11:22 - Respuesta 2
¡Hola Ghoul! te recomiendo un antivirus fenomenal KARSPERSKY no es gratuito, pero prueba con la version "share" 30 dias, la bajas de Internet, actualiza la base de datos, ponlo y ¡paciencia! según lo que tengas tardará entre 60 a 90 minutos pero a mí me limpió el P.C. de unos Backdoors que estabe desesperado y ninguno de los archiconocidos antivirus y antiespías pudo con ellos. Los comentarios en la red de él son muy buenos. ¡Saludos! | |
|
|
| HectorFM |  |
|
Re: Pc infectado, echadme una mano pf. - 2005-03-31 19:23 - Respuesta 3
A reserva de que algún conocedor descifre tu log, te sugiero que lo pegues en esta página. Te dará un reporte muy completo y te indicará las entradas potencialmente peligrosas. No es infalible, por lo tanto te sugiero que seas cuidadoso al tratar esas entradas.
Y en cuanto a antivirus, una muy buena opción es el ActiveScan de Panda Software, detecta tanto virus como spyware (aunque sólo elimina virus), así tendrás una mejor idea de qué causa tu problema.
| |
|
|
| JoSeMi |  |
|
Re: Pc infectado, echadme una mano pf. - 2005-03-31 20:14 - Respuesta 4
Deberías actualizar el sistema operativo y el navegador mediante la página de WindowsUpdate.
1 - Apaga "Restaurar Sistema".
Las entradas O15 - Trusted puedes eliminarlas con la herramienta "TZ-Kill.inf"
PASOS AQUÍ
2 - Con todos los programas cerrados, ejecuta HijackThis, marca las siguientes entradas y haces FIX:
O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitexuc32.exe
O15 - Trusted Zone: *.line6.net
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
3 - Localiza y elimina manualmente:
C:\windows\system32\elitexuc32.exe
C:\WINDOWS\System32\vbsys2.dll
Luego limpia el registro con un programa como RegSeeker por ejemplo.
4 - Reinicia en "Modo a prueba de fallos" o "Modo seguro" y escanea el equipo con Ad-Aware SE y Spybot Search&Destroy.
5 - Usa el Disk Cleaner para limpiar cookies y temporales.
6 - Reinicia y nos cuentas los resultados.
Saludos. | |
|
|
|
