| Re: No puedo eliminar un Hijack
Estimado Jereque, antes que nada quería agradecerte (a vos y a todos) por lo rápido que me contestaste y la ayuda brindada.
Pido disculpas por no responder antes pero recién ahora pude llevar a cabo la mayoría de los pasos que me recomendaste que haga. Digo mayoría porque no pude ejecutar los antivirus online. Cuando clikeo el link del antivirus que elegí se abre otra página pero el querer ingresar al antivirus no lo puedo hacer. No tengo los controles active x que menciona ahí que hay que bajar por primera vez ya que no se como hacerlo. Ruego una ayudita para este último paso.
Sin perjuicio de lo mencionado, realicé todos los demás pasos que me dijistes y el virus aparentemente no está más, es decir: la máquina anda rápido, no me aparece más el cartel “your computer is infected”, no manda más mails, etc.
Pero por otro lado, luego de conectarme a internet aparecieron algunas irregularidades que quisiera que veas. Te pego el resumen de los programas que pasé:
1) ANTIVIRUS AVG: Detectó diferentes virus en tres escaneos:
Escaneo 1
Partition table (MBR)—ok—Quick checked
Boot sector of disk C:—ok—Quick checked
System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Load—Scanned
System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Run—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Run—Scan ned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnce— Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnceE x—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi ces—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi cesOnce—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Run—Scan ned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnce— Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnceE x—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi ces—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi cesOnce—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Winlogon \Userinit—Scanned
System registry SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell—Scanned
System registry exefile\shell\open\command—Scanned
System registry scrfile\shell\open\command—Scanned
System registry scrfile\shell\config\command—Scanned
System registry batfile\shell\open\command—Scanned
System registry cmdfile\shell\open\command—Scanned
System registry comfile\shell\open\command—Scanned
System registry piffile\shell\open\command—Scanned
System registry giffile\shell\open\command—Scanned
System registry htmlfile\shell\open\command—Scanned
System registry htafile\shell\open\command—Scanned
System registry jpegfile\shell\open\command—Scanned
System registry txtfile\shell\open\command—Scanned
System registry regfile\shell\open\command—Scanned
System registry cplfile\shell\cplopen\command—Scanned
System registry Word.Document.8\shell\open\command—Scanned
System registry WordPad.Document.1\shell\open\command—Scanned
System registry inffile\shell\open\command—Scanned
System registry vbsfile\shell\open\command—Scanned
System registry vbefile\shell\open\command—Scanned
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe—ok—Quick checked
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe—ok—Quick checked
C:\Archivos de programa\Archivos comunes\Roxio Shared\Project Selector\projselector.exe—ok—Quick checked
C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe—ok—Quick checked
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE—ok—Quick checked
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe—ok—Quick checked
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE—ok—Quick checked
C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe—ok—Quick checked
C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe—ok—Quick checked
C:\WINNT\System32\internat.exe—ok—Quick checked
C:\WINNT\System32\mobsync.exe—ok—Quick checked
C:\WINNT\System32\mshta.exe—ok—Quick checked
C:\WINNT\System32\rundll32.exe—ok—Quick checked
C:\WINNT\System32\shell32.dll—ok—Quick checked
C:\WINNT\regedit.exe—ok—Quick checked
C:\IO.SYS—ok—Quick checked
C:\MSDOS.SYS—ok—Quick checked
C:\WINNT\System32\kernel32.dll—ok—Quick checked
C:\WINNT\System32\wsock32.dll—ok—Quick checked
C:\WINNT\System32\user32.dll—ok—Quick checked
C:\WINNT\System32\shell32.dll—ok—Quick checked
C:\WINNT\System32\ntoskrnl.exe—ok—Quick checked
C:\sk02.exe——Deleted
C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\8AQ0MLYW\sk02[1].exe—Deleted
Escaneo 2
Partition table (MBR)—ok—Quick checked
Boot sector of disk C:—ok—Quick checked
System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Load—Scanned
System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Run—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Run——Sca nned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnce— —Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnceE x——Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi ces——Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi cesOnce—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Run——Sca nned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnce— —Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnceE x——Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi ces——Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi cesOnce—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Winlogon \Userinit—Scanned
System registry SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell—Scanned
System registry exefile\shell\open\command——Scanned
System registry scrfile\shell\open\command——Scanned
System registry scrfile\shell\config\command——Scanned
System registry batfile\shell\open\command——Scanned
System registry cmdfile\shell\open\command——Scanned
System registry comfile\shell\open\command——Scanned
System registry piffile\shell\open\command——Scanned
System registry giffile\shell\open\command——Scanned
System registry htmlfile\shell\open\command——Scanned
System registry htafile\shell\open\command——Scanned
System registry jpegfile\shell\open\command——Scanned
System registry txtfile\shell\open\command——Scanned
System registry regfile\shell\open\command——Scanned
System registry cplfile\shell\cplopen\command——Scanned
System registry Word.Document.8\shell\open\command——Scanned
System registry WordPad.Document.1\shell\open\command——Scanned
System registry inffile\shell\open\command——Scanned
System registry vbsfile\shell\open\command——Scanned
System registry vbefile\shell\open\command——Scanned
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe—ok—Quick checked
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe—ok—Quick checked
C:\Archivos de programa\Archivos comunes\Roxio Shared\Project Selector\projselector.exe—ok—Quick checked
C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe—ok—Quick checked
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE—ok—Quick checked
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe—ok—Quick checked
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE—ok—Quick checked
C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe—ok—Quick checked
C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe—ok—Quick checked
C:\WINNT\System32\internat.exe—ok—Quick checked
C:\WINNT\System32\mobsync.exe—ok—Quick checked
C:\WINNT\System32\mshta.exe—ok—Quick checked
C:\WINNT\System32\rundll32.exe—ok—Quick checked
C:\WINNT\System32\shell32.dll—ok—Quick checked
C:\WINNT\regedit.exe—ok—Quick checked
C:\IO.SYS—ok—Quick checked
C:\MSDOS.SYS—ok—Quick checked
C:\WINNT\System32\kernel32.dll—ok—Quick checked
C:\WINNT\System32\wsock32.dll—ok—Quick checked
C:\WINNT\System32\user32.dll—ok—Quick checked
C:\WINNT\System32\shell32.dll—ok—Quick checked
C:\WINNT\System32\ntoskrnl.exe—ok—Quick checked
C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\8AQ0MLYW\dr[1].mp3—Trojan horse Downloader.Harnig.AK—Infected
C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\HRGWT7PE\ld[1].mp3—Trojan horse Downloader.Harnig.AJ—Infected
System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Load—Scanned
System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Run—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Run——Sca nned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnce— —Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnceE x——Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi ces——Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi cesOnce—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Run——Sca nned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnce— —Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnceE x——Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi ces——Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi cesOnce—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Winlogon \Userinit—Scanned
System registry SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell—Scanned
System registry exefile\shell\open\command——Scanned
System registry scrfile\shell\open\command——Scanned
System registry scrfile\shell\config\command——Scanned
System registry batfile\shell\open\command——Scanned
System registry cmdfile\shell\open\command——Scanned
System registry comfile\shell\open\command——Scanned
System registry piffile\shell\open\command——Scanned
System registry giffile\shell\open\command——Scanned
System registry htmlfile\shell\open\command——Scanned
System registry htafile\shell\open\command——Scanned
System registry jpegfile\shell\open\command——Scanned
System registry txtfile\shell\open\command——Scanned
System registry regfile\shell\open\command——Scanned
System registry cplfile\shell\cplopen\command——Scanned
System registry Word.Document.8\shell\open\command——Scanned
System registry WordPad.Document.1\shell\open\command——Scanned
System registry inffile\shell\open\command——Scanned
System registry vbsfile\shell\open\command——Scanned
System registry vbefile\shell\open\command——Scanned
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe—ok—Quick checked
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe—ok—Quick checked
C:\Archivos de programa\Archivos comunes\Roxio Shared\Project Selector\projselector.exe—ok—Quick checked
C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe—ok—Quick checked
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE—ok—Quick checked
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe—ok—Quick checked
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE—ok—Quick checked
C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe—ok—Quick checked
C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe—ok—Quick checked
C:\WINNT\System32\internat.exe—ok—Quick checked
C:\WINNT\System32\mobsync.exe—ok—Quick checked
C:\WINNT\System32\mshta.exe—ok—Quick checked
C:\WINNT\System32\rundll32.exe—ok—Quick checked
C:\WINNT\System32\shell32.dll—ok—Quick checked
C:\WINNT\regedit.exe—ok—Quick checked
C:\drsmartload45a.exe——Deleted
C:\drsmartload46a.exe——Deleted
C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\FLUUMR3K\drsmartload277a[1].mp3—Deleted
C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\FLUUMR3K\r[1].mp3—Deleted
C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\HRGWT7PE\drsmartload45a[1].exe—Deleted
C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\ZL5E3TI9\drsmartload46a[1].exe—Deleted
C:\WINNT\system32\urzcssg.exe——Deleted
Escaneo 3
Partition table (MBR)—ok—Quick checked
Boot sector of disk C:—ok—Quick checked
System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Load—Scanned
System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Run—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Run—Scan ned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnce— Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnceE x—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi ces—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi cesOnce—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Run—Scan ned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnce— Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnceE x—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi ces—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi cesOnce—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Winlogon \Userinit—Scanned
System registry SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell—Scanned
System registry exefile\shell\open\command—Scanned
System registry scrfile\shell\open\command—Scanned
System registry scrfile\shell\config\command—Scanned
System registry batfile\shell\open\command—Scanned
System registry cmdfile\shell\open\command—Scanned
System registry comfile\shell\open\command—Scanned
System registry piffile\shell\open\command—Scanned
System registry giffile\shell\open\command—Scanned
System registry htmlfile\shell\open\command—Scanned
System registry htafile\shell\open\command—Scanned
System registry jpegfile\shell\open\command—Scanned
System registry txtfile\shell\open\command—Scanned
System registry regfile\shell\open\command—Scanned
System registry cplfile\shell\cplopen\command—Scanned
System registry Word.Document.8\shell\open\command—Scanned
System registry WordPad.Document.1\shell\open\command—Scanned
System registry inffile\shell\open\command—Scanned
System registry vbsfile\shell\open\command—Scanned
System registry vbefile\shell\open\command—Scanned
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe—ok—Quick checked
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe—ok—Quick checked
C:\Archivos de programa\Archivos comunes\Roxio Shared\Project Selector\projselector.exe—ok—Quick checked
C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe—ok—Quick checked
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE—ok—Quick checked
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe—ok—Quick checked
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE—ok—Quick checked
C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe—ok—Quick checked
C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe—ok—Quick checked
C:\WINNT\System32\internat.exe—ok—Quick checked
C:\WINNT\System32\mobsync.exe—ok—Quick checked
C:\WINNT\System32\mshta.exe—ok—Quick checked
C:\WINNT\System32\rundll32.exe—ok—Quick checked
C:\WINNT\System32\shell32.dll—ok—Quick checked
C:\WINNT\regedit.exe—ok—Quick checked
C:\IO.SYS—ok—Quick checked
C:\MSDOS.SYS—ok—Quick checked
C:\WINNT\System32\kernel32.dll—ok—Quick checked
C:\WINNT\System32\wsock32.dll—ok—Quick checked
C:\WINNT\System32\user32.dll—ok—Quick checked
C:\WINNT\System32\shell32.dll—ok—Quick checked
C:\WINNT\System32\ntoskrnl.exe—ok—Quick checked
C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\8AQ0MLYW\dr[1].mp3—Trojan horse Downloader.Harnig.AK—Infected
C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\HRGWT7PE\ld[1].mp3—Trojan horse Downloader.Harnig.AJ—Infected
System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Load—Scanned
System registry Software\Microsoft\Windows NT\CurrentVersion\Windows\Run—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Run—Scan ned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnce— Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnceE x—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi ces—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi cesOnce—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Run—Scan ned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnce— Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunOnceE x—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi ces—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\RunServi cesOnce—Scanned
System registry Software\Microsoft\Windows\CurrentVersion\Winlogon \Userinit—Scanned
System registry SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell—Scanned
System registry exefile\shell\open\command—Scanned
System registry scrfile\shell\open\command—Scanned
System registry scrfile\shell\config\command—Scanned
System registry batfile\shell\open\command—Scanned
System registry cmdfile\shell\open\command—Scanned
System registry comfile\shell\open\command—Scanned
System registry piffile\shell\open\command—Scanned
System registry giffile\shell\open\command—Scanned
System registry htmlfile\shell\open\command—Scanned
System registry htafile\shell\open\command—Scanned
System registry jpegfile\shell\open\command—Scanned
System registry txtfile\shell\open\command—Scanned
System registry regfile\shell\open\command—Scanned
System registry cplfile\shell\cplopen\command—Scanned
System registry Word.Document.8\shell\open\command—Scanned
System registry WordPad.Document.1\shell\open\command—Scanned
System registry inffile\shell\open\command—Scanned
System registry vbsfile\shell\open\command—Scanned
System registry vbefile\shell\open\command—Scanned
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe—ok—Quick checked
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe—ok—Quick checked
C:\Archivos de programa\Archivos comunes\Roxio Shared\Project Selector\projselector.exe—ok—Quick checked
C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe—ok—Quick checked
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE—ok—Quick checked
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe—ok—Quick checked
C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE—ok—Quick checked
C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe—ok—Quick checked
C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe—ok—Quick checked
C:\WINNT\System32\internat.exe—ok—Quick checked
C:\WINNT\System32\mobsync.exe—ok—Quick checked
C:\WINNT\System32\mshta.exe—ok—Quick checked
C:\WINNT\System32\rundll32.exe—ok—Quick checked
C:\WINNT\System32\shell32.dll—ok—Quick checked
C:\WINNT\regedit.exe—ok—Quick checked
2) RESULTADOS DEL AD-WATCH:
Archivo de registro de Ad-Watch exportado a 29/04/2006
Número total de eventos:20
===============================================
29/04/2006 0:21:56 - Definitions file SE1R105 26.04.2006 loaded successfully.
Build:SE1R105 26.04.2006
Total Signatures :55018
Target Families :880
Target Categories :6
CSI data Size :163608
File Size :2049042
===============================================
29/04/2006 0:21:58 - User preferences file loaded.
Ad-Watch preference file loaded.
Applying user settings
C:\Documents and Settings\SZ\Datos de programa\Lavasoft\Ad-Aware\awsettings.awc
Initialization complete.
===============================================
29/04/2006 0:22:28 - Archivo de sitios cargado.
Archivo de sitios cargado correctamente.
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\sites.txt
Entradas totales: 3229
===============================================
29/04/2006 0:22:44 - Detectada una modificación del registro
Raíz:HKEY_CURRENT_USER
Clave:Software\Microsoft\Internet Explorer\Main
Valor:Local Page
Dato:C:\WINNT\System32\blank.htm
Nuevo dato:0
===============================================
29/04/2006 0:22:45 - Detectada una modificación del registro
Raíz:HKEY_LOCAL_MACHINE
Clave:Software\Microsoft\Internet Explorer\Main
Valor:Local Page
Dato:%SystemRoot%\system32\blank.htm
Nuevo dato:
===============================================
29/04/2006 0:22:45 - Detectada una modificación del registro
Raíz:HKEY_CURRENT_USER
Clave:Software\Microsoft\Windows\CurrentVersion\Ru n
Valor:dlmMgr
Dato:"C:\Archivos de programa\Archivos comunes\Adobe\ESD\AdobeDownloadManager.exe"
Nuevo dato:
===============================================
29/04/2006 0:27:04 - Detectada una modificación del registro
Raíz:HKEY_LOCAL_MACHINE
Clave:Software\Microsoft\Windows\CurrentVersion\Ru n
Valor:SpybotSnD
Dato:"C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe"
Nuevo dato:
===============================================
29/04/2006 0:27:06 - Detectada una modificación del registro
Raíz:HKEY_LOCAL_MACHINE
Clave:Software\Microsoft\Windows\CurrentVersion\Ru nOnce
Valor:SpybotSnD
Dato:
Nuevo dato:"C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe"
===============================================
29/04/2006 0:27:08 - Detectada una modificación del registro
Raíz:HKEY_LOCAL_MACHINE
Clave:Software\Microsoft\Windows\CurrentVersion\Ru n
Valor:SpybotSnD
Dato:"C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe"
Nuevo dato:
===============================================
29/04/2006 0:40:41 - Detectada una modificación del registro
Raíz:HKEY_LOCAL_MACHINE
Clave:Software\Microsoft\Internet Explorer\Main
Valor:Local Page
Dato:%SystemRoot%\system32\blank.htm
Nuevo dato:
===============================================
29/04/2006 0:40:41 - Detectada una modificación del registro
Raíz:HKEY_CURRENT_USER
Clave:Software\Microsoft\Windows\CurrentVersion\Ru n
Valor:dlmMgr
Dato:"C:\Archivos de programa\Archivos comunes\Adobe\ESD\AdobeDownloadManager.exe"
Nuevo dato:
===============================================
29/04/2006 0:40:41 - Detectada una modificación del registro
Raíz:HKEY_CURRENT_USER
Clave:Software\Microsoft\Internet Explorer\Main
Valor:Local Page
Dato:C:\WINNT\System32\blank.htm
Nuevo dato:0
===============================================
29/04/2006 1:25:20 - Detectada una modificación del registro
Raíz:HKEY_LOCAL_MACHINE
Clave:Software\Microsoft\Windows\CurrentVersion\Ru n
Valor:Winamp Agent
Dato:
Nuevo dato:C:\WINNT\System32\winamp.exe
===============================================
29/04/2006 1:26:04 - Detectada una modificación del registro
Raíz:HKEY_LOCAL_MACHINE
Clave:Software\Microsoft\Windows\CurrentVersion\Ru n
Valor:keyboard
Dato:
Nuevo dato:c:\windows\keyboard15.exe
===============================================
29/04/2006 1:26:07 - Detectada una modificación del registro
Raíz:HKEY_LOCAL_MACHINE
Clave:Software\Microsoft\Internet Explorer\Main
Valor:Search Page
Dato:http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Nuevo dato:http://searchbar.findthewebsiteyouneed.com
===============================================
29/04/2006 1:26:07 - Detectada una modificación del registro
Raíz:HKEY_LOCAL_MACHINE
Clave:Software\Microsoft\Internet Explorer\Search
Valor:SearchAssistant
Dato:http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Nuevo dato:http://searchbar.findthewebsiteyouneed.com
===============================================
29/04/2006 1:26:14 - Detectada una modificación del registro
Raíz:HKEY_LOCAL_MACHINE
Clave:Software\Microsoft\Windows\CurrentVersion\Ru n
Valor:mousepad
Dato:
Nuevo dato:c:\windows\mousepad15.exe
===============================================
29/04/2006 1:26:14 - Detectada una modificación del registro
Raíz:HKEY_LOCAL_MACHINE
Clave:Software\Microsoft\Windows\CurrentVersion\Ru n
Valor:newname
Dato:
Nuevo dato:c:\windows\newname15.exe
===============================================
29/04/2006 1:28:21 - Proceso dañino identificado(PID:956)
Objeto:Installer.exe
Ruta:c:\
Categoría:Malware
Fabricante:CoolWebSearch
Comentario:look2me
Este objeto se encontró activo en la memoria
===============================================
29/04/2006 1:59:13 - Detectada una modificación del registro
Raíz:HKEY_LOCAL_MACHINE
Clave:Software\Microsoft\Windows\CurrentVersion\Ru n
Valor:Spooler SubSystem App
Dato:
Nuevo dato:C:\WINNT\System32\spooIsv.exe
3) RESULTADOS DEL AD-AWARE:
Resultado del análisis de Ad-Aware SE, 29-04-2006 14:45:29
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Fabricante Tipo Categoría Objeto Comentario
Possible Browser Hijack attempt RegData Data Miner HKEY_USERS:.DEFAULT\Software\Microsoft\Internet Explorer\Main"Search Page" ("http://searchbar.findthewebsiteyouneed.com") Posible intento de secuestro del navegador
Possible Browser Hijack attempt RegData Data Miner HKEY_USERS:.DEFAULT\Software\Microsoft\Internet Explorer\Main"Start Page" ("http://www.findthewebsiteyouneed.com") Posible intento de secuestro del navegador
Possible Browser Hijack attempt RegData Data Miner HKEY_USERS:.DEFAULT\Software\Microsoft\Internet Explorer\Main"Search Bar" ("http://searchbar.findthewebsiteyouneed.com") Posible intento de secuestro del navegador
Possible Browser Hijack attempt RegData Data Miner HKEY_USERS:.DEFAULT\Software\Microsoft\Internet Explorer\Main"Default_Search_URL" ("http://searchbar.findthewebsiteyouneed.com") Posible intento de secuestro del navegador
SpywareNo Archivo Misc C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\8AQ0MLYW\qvgsnz[1].txt
CoolWebSearch Archivo Malware C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\FLUUMR3K\Installer[1].exe Look2Me
SpywareNo Archivo Misc C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\HRGWT7PE\oniutrqcx[1].txt
SpywareNo Archivo Misc C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\HRGWT7PE\owatqjgqw[1].txt
CmdServices Archivo Possible Browser Hijack attempt C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\ZL5E3TI9\MTE3NDI6ODoxNg[1].exe
SpywareNo Archivo Misc C:\Documents and Settings\Default User\Configuración local\Archivos temporales de Internet\Content.IE5\ZL5E3TI9\toeqfliflx[1].txt
CoolWebSearch Archivo Malware C:\Installer.exe Look2Me
CmdServices Archivo Possible Browser Hijack attempt C:\windows\MTE3NDI6ODoxNg.exe
SpywareNo RegData Misc HKEY_CURRENT_USER:software\microsoft\windows\curre ntversion\policies\activedesktop"NoAddingComponent s" (0)
SpywareNo RegData Misc HKEY_CURRENT_USER:software\microsoft\windows\curre ntversion\policies\activedesktop"NoComponents" (0)
SpywareNo RegData Misc HKEY_CURRENT_USER:software\microsoft\windows\curre ntversion\policies\activedesktop"NoHTMLWallPaper" (0)
CoolWebSearch Regkey Malware HKEY_CURRENT_USER:software\microsoft\windows\curre ntversion\internet settings\zonemap\domains\i--search.com\
CoolWebSearch RegValue Malware HKEY_CURRENT_USER:software\microsoft\windows\curre ntversion\internet settings\zonemap\domains\i--search.com "*"
CoolWebSearch Regkey Malware HKEY_LOCAL_MACHINE:software\microsoft\downloadmana ger\
CoolWebSearch RegValue Malware HKEY_CURRENT_USER:software\microsoft\internet explorer\main "Use Custom Search URL"
CoolWebSearch RegValue Malware HKEY_CURRENT_USER:software\microsoft\internet explorer\main "Search Bar"
CoolWebSearch RegValue Malware HKEY_CURRENT_USER:software\microsoft\windows\curre ntversion\policies\system "NoDispBackgroundPage"
CoolWebSearch Archivo Malware C:\WINNT\System32\host.exe
4) EL REGSEEKER NO ELIMINÓ ESTO A PESAR DE PASARLO VARIAS VECES (SEIS VECES):
Fichero o ruta inexistente en HKEY_CURRENT_USER:
Local page Software\Microsoft\Internet Explorer\Main C\WINNT\System32\blank.htm
DlmMgr Software\Microsoft\Windows\CurrentVersion\Run “C\Archivos de Programa\Archivos Comunes\Adobe\ESD\AdobesDownloadManager.exe”
Fichero o ruta inexistente en HKEY_LOCAL_MACHINE:
Local Page SOFTWARE\Microsoft\Internet Explorer\Main %SystemRoot%\system32\blank.htm
5) EL SPYBOTSD SE TRABA SIEMPRE A LA MITAD Y PONE:
¡Error durante el análisis!: InterFun (Datei C:\WINNT\system.ini kann nicht geöffnet werden. El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso) ()
¡Felicidades!: No se ha encontrado ningún robot espía. ()
--- Spybot - Search && Destroy version: 1.3 ---
2006-04-21 Includes\Cookies.sbi
2006-04-21 Includes\Dialer.sbi
2006-04-21 Includes\Hijackers.sbi
2006-04-21 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2006-04-21 Includes\Malware.sbi
2006-04-21 Includes\PUPS.sbi
2006-04-21 Includes\Revision.sbi
2006-04-21 Includes\Security.sbi
2006-04-21 Includes\Spybots.sbi
2005-02-17 Includes\Tracks.uti
2006-04-21 Includes\Trojans.sbi
6) FINALMENTE EL LOG DEL HIJACKTHIS:
Logfile of HijackThis v1.99.1
Scan saved at 21:45:46, on 28/04/2006
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINNT\System32\internat.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Documents and Settings\SZ\Mis documentos\Bajadas\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [projselector] "C:\Archivos de programa\Archivos comunes\Roxio Shared\Project Selector\projselector.exe" -r
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/spanish/msn
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/spanish/msn
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
Bueno, espero no haber abrumado con tanto “LOG” y que esto sirva para que tengas/tengan un diagnóstico final.
Muchísimas gracias nuevamente y quedo a la espera de cuando puedan responderme.
Saludos cordiales. |