| Tincher |  |
|
2005-08-17 17:17 - Respuestas: 8 - Tema nº: 40495
Se metio en mi maquina (WINDOWS 2000) el virus PS GUARD y la verdad que no puedo hacer nada. Necesito por favor que me ayuden, algo estuve leyendo pero no se como sacar el virus. Les adjunto el texto del hijackthis, desde ya muchas gracias
Running processes:
C:\Archivos de programa\MouseWarePro\MWProEng.exe
C:\winnt\system32\mdms.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\WINNT\Explorer.exe
C:\Archivos de programa\AutoCAD LT 2000i Esp\aclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Respaldo\Martin\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.pm.rosario.gov.ar:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.rosario.gov.ar;192.168.*;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: IE_PopupBlocker Class - {656EC4B7-072B-4698-B504-2A414C1F0037} - C:\Archivos de programa\Tutopia Extremo\prpl_IePopupBlocker.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [MWProEng] C:\Archivos de programa\MouseWarePro\MWProEng.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SysMemory manager] c:\winnt\system32\mdms.exe
O4 - HKLM\..\Run: [CPU Watcher] rundll32.exe C:\WINNT\cpu.dll,load
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [aupd] C:\WINNT\system32\symcsvc.exe
O4 - HKCU\..\Run: [PayTime] C:\WINNT\system32\paytime.exe
O4 - HKCU\..\Run: [Super Utilities] C:\Archivos de programa\SuperLogix\Super Utilities\SuperUtil.exe /min
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q678340.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Control de AcDcToday) - file://C:\Archivos de programa\AutoCAD LT 2000i Esp\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD LT 2000i Esp\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCE485F3-A9AA-4993-9EE5-EFE1566D43E4}: NameServer = 192.168.2.10,192.168.13.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = pm.rosario.gov.ar,rosario.gov.ar
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = pm.rosario.gov.ar,rosario.gov.ar
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = pm.rosario.gov.ar,rosario.gov.ar
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)
O20 - Winlogon Notify: drct16 - drct16.dll (file missing)
O20 - Winlogon Notify: tcpG4T - C:\WINNT\SYSTEM32\tcpG4T.dll
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - (no file)
O21 - SSODL: System - {7006C753-ADB8-4C21-B4FB-16284A62C9AA} - vr_sys.dll (file missing)
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINNT\system32\Gmhpgpcg.dll (file missing)
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINNT\svchost.exe (file missing)
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Titanium\Pavsrv50.exe
[ Este mensaje fué editado por: Javier el 13-04-2006 a las 09:08] | |
|
|
| tordanxa |  |
|
Re: Virus PSGUARD no puedo hacer nada... - 2005-08-17 17:59 - Respuesta 2
Cierra todos los programas y en el HijackThis marca las siguientes entradas y después las eliminas utilizando la opción Fix checked
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: IE_PopupBlocker Class - {656EC4B7-072B-4698-B504-2A414C1F0037} - C:\Archivos de programa\Tutopia Extremo\prpl_IePopupBlocker.dll (file missing)
O4 - HKLM\..\Run: [SysMemory manager] c:\winnt\system32\mdms.exe
O4 - HKLM\..\Run: [CPU Watcher] rundll32.exe C:\WINNT\cpu.dll,load
O4 - HKCU\..\Run: [aupd] C:\WINNT\system32\symcsvc.exe
O4 - HKCU\..\Run: [PayTime] C:\WINNT\system32\paytime.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q678340.exe
O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file
O20 - Winlogon Notify: drct16 - drct16.dll (file missing)
O20 - Winlogon Notify: tcpG4T - C:\WINNT\SYSTEM32\tcpG4T.dll
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - (no file)
O21 - SSODL: System - {7006C753-ADB8-4C21-B4FB-16284A62C9AA} - vr_sys.dll (file missing)
O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - C:\WINNT\system32\Gmhpgpcg.dll (file missing)
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINNT\svchost.exe (file missing)
Finaliza este proceso:
mdms.exe
Elimina los siguientes archivos o carpetas(Debes de tener la opción mostrar todos los archivos y carpetas habilitada en opciones de carpeta):
c:\winnt\system32\mdms.exe
C:\WINNT\cpu.dll,load
C:\WINNT\system32\symcsvc.exe
C:\Recycled\Q678340.exe
Pasa el easycleaner de nuevo para eliminar los archivos y entradas de registro innecesarias.
Reinicia, vuelve a pasar todos los programas de nuevo y nos cuentas.
saludos | |
|
|
| Tincher | |
|
Re: Virus PSGUARD no puedo hacer nada... - 2005-08-22 20:38 - Respuesta 3
Buenisimo, quedo excelente la compu, gracias, muchas gracias. Ahora que la tengo 10 puntos que antivirus es el mas recomendado para usar y que programa puedo usar para los spyware, y evitar que no me pase lo mismo? | |
|
|
| tordanxa | |
|
Re: Virus PSGUARD no puedo hacer nada... - 2005-08-22 21:42 - Respuesta 4
Lo de los antivirus pues... para gustos colores, busca en el foro que hay muchos posts sobre el tema y lo verás.
En cuanto a los antispywares, con estos dos deberías tener bastante, el Ad-Aware y el spybot S&D.
Saludos | |
|
|
| NICKO1976 |  |
|
Re: Virus PSGUARD no puedo hacer nada... - 2005-08-22 22:04 - Respuesta 5
te recomiendo este que a mi me a dado buenos resultados
www.ravantivirus.com | |
|
|
|
