MNM | |
| 2005-06-04 06:16 - Respuestas: 5 - Tema nº: 35316
Me ayudan a ver que tengo en mi máquina (y que hacer). Me alteró el fondo de pantalla y se me habren ventanas.
Les paso el log del hijackthis
Gracias
Logfile of HijackThis v1.99.1
Scan saved at 1:01:29, on 04/06/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\twain_32\VIVID\VIVID.EXE
C:\WINNT\System32\msole32.exe
C:\WINNT\popuper.exe
C:\WINNT\System32\shnlog.exe
C:\WINNT\System32\intmonp.exe
C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe
C:\WINNT\System32\intmon.exe
C:\Archivos de programa\Outlook Express\msimn.exe
C:\DOCUME~1\MM\CONFIG~1\Temp\aikb.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\MM\CONFIG~1\Temp\Rar$EX00.225\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qfind.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
F3 - REG:win.ini: load=C:\WINNT\TWAIN_32\Vivid\VIVID.EXE
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\System32\hp3B88.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG_CC] C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE /P23 "EPSON Stylus C43 Series" /O6 "USB001" /M "Stylus C43"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WindowsFZ] C:\WINNT\System32\LogFiles\A5281300.so
O4 - HKLM\..\Run: [AntivirusGold] C:\Archivos de programa\AntivirusGold\AntivirusGold.exe /h
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Intel system tool] C:\WINNT\System32\hookdump.exe
O4 - Global Startup: Monitor en 2ºPlano EPSON.lnk = C:\ESM2\Stms.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Microsoft AntiSpyware helper - {F7E541EC-D01F-4A31-B1B8-B92D55BAEA61} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {F7E541EC-D01F-4A31-B1B8-B92D55BAEA61} - (no file) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{55F79EB8-FB25-488E-BC8A-2C51BE7563CF}: NameServer = 200.45.254.2 200.45.191.35
O17 - HKLM\System\CS1\Services\Tcpip\..\{55F79EB8-FB25-488E-BC8A-2C51BE7563CF}: NameServer = 200.45.254.2 200.45.191.35
O23 - Service: AVG6 Service (AvgServ) - GRISOFT s.r.o - C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
| |
|
|
tordanxa | |
|
Re: Ayuda virus - 2005-06-04 09:02 - Respuesta 2
Cierra todos los programas y en el HijackThis marca las siguientes entradas y después las eliminas utilizando la opción Fix checked
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qfind.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qfind.net/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qfind.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.qfind.net/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.qfind.net/search.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.qfind.net/
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\System32\hp3B88.tmp
O4 - HKLM\..\Run: [WindowsFZ] C:\WINNT\System32\LogFiles\A5281300.so
O9 - Extra button: Microsoft AntiSpyware helper - {F7E541EC-D01F-4A31-B1B8-B92D55BAEA61} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {F7E541EC-D01F-4A31-B1B8-B92D55BAEA61} - (no file) (HKCU)
En agregar/quitar programas desinstala estos:
WindowsFZ
Finaliza estos procesos
shnlog.exe
msole32.exe
popuper.exe
intmonp.exe
intmon.exe
En el registro busca en :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run los valores, msole32, winlogon, notepad2.exe
popuper.exe
Elimina los siguientes archivos (Debes de tener la opción mostrar todos los archivos y carpetas habilitada en opciones de carpeta):
hhk.dll
hp99B5.tmp
shnlog.exe
msole32.exe
popuper.exe
intmonp.exe
intmon.exe
Pasa los programas que ya te aconseje en este post www.configurarequipos.com/tema32026-17-0.html, donde por cierto, si lo lees a partir de la página 5 tienes la solución al problema del fondo.
Pasa el easycleaner de nuevo para eliminar los archivos y entradas de registro innecesarias.
Reinicia, vuelve a pasar todos los programas de nuevo y nos cuentas.
Saludos
| |
|
|
MNM | |
|
Re: Ayuda virus - 2005-06-04 16:34 - Respuesta 3
Se solucionó bastante pero:
1- el explorer me sigue habriendo una página http://www.updatesearches.com/ (que la elimino en el hijackthis pero queda)
2- Mi windows es 2000 y ha desaparecido la posibilidad de cambiar el fondo de pantalla (el cual quedó como intermitente)
Gracias
| |
|
|
tordanxa | |
|
Re: Ayuda virus - 2005-06-04 17:45 - Respuesta 4
Una vez pasado el Ad-Aware y el spybot pega el log de nuevo
saludos | |
|
|
MNM | |
|
Re: Ayuda virus - 2005-06-04 21:10 - Respuesta 5
Logfile of HijackThis v1.99.1
Scan saved at 16:04:37, on 04/06/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\twain_32\VIVID\VIVID.EXE
C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe
C:\WINNT\System32\hookdump.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\MM\CONFIG~1\Temp\Rar$EX00.903\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F3 - REG:win.ini: load=C:\WINNT\TWAIN_32\Vivid\VIVID.EXE
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\System32\hp7C31.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVG_CC] C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE /P23 "EPSON Stylus C43 Series" /O6 "USB001" /M "Stylus C43"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Intel system tool] C:\WINNT\System32\hookdump.exe
O4 - Global Startup: Monitor en 2ºPlano EPSON.lnk = C:\ESM2\Stms.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AVG6 Service (AvgServ) - GRISOFT s.r.o - C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
| |
|
|
|