Ver la Versión Completa : Ayuda urgente !!
Se q tengo un pedazo virus por ahi bambando q no es normal!!
Aparte de q me salen 100 ventanas de publicidad y de avisos de seguridad para q me baje programas no me acepta ninguna contraseña de myspace,y demas foros(menos aki afortunadamente),ni webs de bitorrent ni nada de nada,no puedo entrar como usuario.
Ayuda plese!!::ups::
ferlahozseg 04/01/08, 08:47:46 Hola
Realiza estos pasos:
:1: Apaga restaurar sistema (http://www.forospyware.com/292280-post2.html)
:2: Activa ver todos los archivos ocultos (http://www.forospyware.com/292282-post3.html)
:3: Reinicia en modo seguro (http://www.forospyware.com/292284-post4.html) con funciones de red
:4: Realiza un analisis online con ewido (http://www.forospyware.com/t56029.html) y otro con kaspersky (http://www.forospyware.com/t55793.html).
:5: Peganos los dos reportes que te generen aqui. Un saludo.
No me deja darle a aceptar en las condiciones del kaspersy.
Y la publicidad antispyware es peor q antes
Microsoft32 04/01/08, 10:11:01 Hola, con permiso ferlahozseg
Descarga DelpsGuard (http://www.forospyware.com/t4239.html) y sigue las intrucciones del enlace.
Peganos el reporte que te genere y tambien pega el del panda.
No encontre ninguna de las q me mencionaste con el hihackthis asi q te pego lo q me salio a ver si me puedes ayudar:
Microsoft32 04/01/08, 10:27:48 ¿lo reiniciaste en modo seguro como ahi decia?
si no lo isiste aslo.
PD: elimina el log hijackthis, esta prohibido en esta sesion del foro.
OK ya lo borre ,perdon.
AHora lo probare.
Gracias
Microsoft32 04/01/08, 10:44:12 ok recuerda volver, contarnos los resultados y pegar los reportes.
Aki os pego el reporte del kaspersy,sorry por la tardanza no estuve en casa.
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Tuesday, January 08, 2008 1:14:58 AM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 7/01/2008
Kaspersky Anti-Virus database records: 503926
-------------------------------------------------------------------------------
Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true
Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
Scan Statistics:
Total number of scanned objects: 43773
Number of viruses found: 1
Number of infected objects: 9
Number of suspicious objects: 0
Duration of the scan process: 00:34:50
Infected Object Name / Virus Name / Last Action
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2008-01-07.20-01-22.log Object is locked skipped
C:\Archivos de programa\HP\hpcoretech\hpcmerr.log Object is locked skipped
C:\Archivos de programa\WebMediaPlayer\uninst.exe/stream/data0002 Infected: not-a-virus:AdWare.Win32.NaviPromo.ce skipped
C:\Archivos de programa\WebMediaPlayer\uninst.exe/stream Infected: not-a-virus:AdWare.Win32.NaviPromo.ce skipped
C:\Archivos de programa\WebMediaPlayer\uninst.exe NSIS: infected - 2 skipped
C:\Documents and Settings\aaron\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\ApplicationHistory\hpqgalry.exe.733f6a55. ini.inuse Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\administrativeInfo.dbf Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\albumImagesTable.cdx Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\albumImagesTable.dbf Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\albumTable.cdx Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\albumTable.dbf Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\CB_Server_Errors.txt Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\EXIFTable.cdx Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\EXIFTable.dbf Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\imageTable.cdx Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\imageTable.dbf Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\imageTable.fpt Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\keywordImagesTable.cdx Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\keywordImagesTable.dbf Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\keywordTable.cdx Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\keywordTable.dbf Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\managedFolderTable.dbf Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\pathnameTable.cdx Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\pathnameTable.dbf Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\ROFImagesTable.cdx Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\ROFImagesTable.dbf Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\ROFTable.cdx Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\ROFTable.dbf Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Messenger\aaronmartinez_clement e@hotmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Messenger\aaronmartinez_clement e@hotmail.com\SharingMetadata\pending.dat Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Messenger\aaronmartinez_clement e@hotmail.com\SharingMetadata\Working\database_40A 4_9D0_A409_C8FC\dfsr.db Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Messenger\aaronmartinez_clement e@hotmail.com\SharingMetadata\Working\database_40A 4_9D0_A409_C8FC\fsr.log Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Messenger\aaronmartinez_clement e@hotmail.com\SharingMetadata\Working\database_40A 4_9D0_A409_C8FC\fsrtmp.log Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Messenger\aaronmartinez_clement e@hotmail.com\SharingMetadata\Working\database_40A 4_9D0_A409_C8FC\tmp.edb Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\aaronmartinez_clemente@hotmail.com\real\m embers.stg Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\aaronmartinez_clemente@hotmail.com\shadow \members.stg Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \Cache\_CACHE_001_ Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \Cache\_CACHE_002_ Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \Cache\_CACHE_003_ Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \Cache\_CACHE_MAP_ Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Historial\History.IE5\MSHist0120080108200801 09\index.dat Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Temp\hpodvd09.log Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Temp\Perflib_Perfdata_180.dat Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Temp\Perflib_Perfdata_378.dat Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Temp\~DF6F9E.tmp Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Temp\~DF6FA6.tmp Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Temp\~DF79C9.tmp Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Temp\~DF7A11.tmp Object is locked skipped
C:\Documents and Settings\aaron\Configuración local\Temp\~DFFE64.tmp Object is locked skipped
C:\Documents and Settings\aaron\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \cert8.db Object is locked skipped
C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \formhistory.dat Object is locked skipped
C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \history.dat Object is locked skipped
C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \key3.db Object is locked skipped
C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \parent.lock Object is locked skipped
C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \search.sqlite Object is locked skipped
C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \urlclassifier2.sqlite Object is locked skipped
C:\Documents and Settings\aaron\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SUP ERANTISPYWARE.LOG Object is locked skipped
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe/data0000.bin/stream/data0006 Infected: not-a-virus:AdWare.Win32.NaviPromo.ce skipped
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe/data0000.bin/stream Infected: not-a-virus:AdWare.Win32.NaviPromo.ce skipped
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe/data0000.bin Infected: not-a-virus:AdWare.Win32.NaviPromo.ce skipped
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe EmbeddedEXE: infected - 3 skipped
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe UPX: infected - 3 skipped
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe PE_Patch.UPX: infected - 3 skipped
C:\Documents and Settings\aaron\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\aaron\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\Internet.evt Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\drivers\vaxscsi.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\WgaLogon.dll Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
Scan process completed.
Angel Doze 08/01/08, 01:11:39 Hola.
Realiza lo siguiente :
Descarga Navilog.zip (http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip)
-Instalar la utilidad Navilog
-Aceptamos la licencia
-Presiona "E"
-En la pantalla veras los siguientes textos.
1 - Search
2 - Automatic cleaning
3 - Automatic cleaning without results fron Catchme/GNS scan
4 - Manual removal by typing the adware name
Q - Exit
Primero elejimos la Opcion "1" (Search)
-Elejiremos la opcion "2" (Automatic Cleaning)
Aparecera la pantalla con la siguiente Leyenda
Save yor documents in use and close all open windows
Your computer will now restart
Your desktop will take longer to appear while the fix is working
If your computer doesn't restart by itself, do not run Navilog1
- Go to "Start" and click on "Turn off Computer"
- Then select "Restart" and let your computer restart normally
-Presiona una tecla para continuar (Cierra todas la ventanas de programas o navegadores que tengas abiertas).Aparecerá la pantalla "Apagar el sistema" y Windows se reiniciará automáticamente.
*NOTA: Si Windows no se reiniciara automáticamente, reinícialo manualmente.
-Al reiniciarse el pc , nos saldra una pantalla con lo siguiente :
Complementary Search
(Search specific files)
Please wait...
Registry is cleaned
X archivos copiados
-Espera unos segundos y enseguida saldra un block de notas con el nombre de "cleannavi.txt"
en ese block de notas te describira las acciones tomadas por Navilog1 , ese repore copiarlo y pegarlo en este mimo mensaje.
Nota*Es posible que tu antivirus Detecte a NavilogZip , como malicioso , pero debes hacer caso omiso de ese aviso , ya que se trata de un "Falso Positivo"
Recomendacio*Para mejor funcionamiento del Programa Navilog , es recomendable desactivar el Antivirus Residente.
Tambien..
Realiza un escaneo online , con el "Panda ActiveScan Online" , copias y pegas aqui el reporte , que te genere.
Salu2!
Me cuentas !
Buenas ya pase el navilog y el panda scan online,te dejo los dos reportes q me han dado.
NAvilog:
Navipromo Removal version 3.3.9 started on 08/01/2008 at 11:14:00,04
Fix running from C:\Archivos de programa\navilog1
Updated on 06.01.2008 at 20h00 by IL-MAFIOSO
Microsoft Windows XP [Versi¢n 5.1.2600]
Internet Explorer : 7.0.5730.13
Filesystem type : NTFS
Automatic removal
*** Creating backups for files found by Catchme
Copy to "C:\Archivos de programa\navilog1\Backupnavi"
Copy C:\Documents and Settings\aaron\Configuración local\Datos de programa\wfndnnefve.dat done !
Copy C:\Documents and Settings\aaron\Configuración local\Datos de programa\wfndnnefve.exe done !
Copy C:\Documents and Settings\aaron\Configuración local\Datos de programa\wfndnnefve_nav.dat done !
Copy C:\Documents and Settings\aaron\Configuración local\Datos de programa\wfndnnefve_navps.dat done !
*** Deleting files found with Catchme ***
** Second pass with Catchme results **
* In C:\WINDOWS\system32 *
C:\WINDOWS\prefetch\wfndnnefve*.pf found !
Copy C:\WINDOWS\prefetch\wfndnnefve*.pf done !
C:\WINDOWS\prefetch\wfndnnefve*.pf deleted !
* In "C:\Documents and Settings\aaron\configuraci¾n local\datos de programa" *
*** Deleting with Backups GenericNaviSearch results ***
* Deletion in C:\WINDOWS\System32 *
* Deletion in "C:\Documents and Settings\aaron\configuraci¾n local\datos de programa" *
*** Deleting folders in C:\WINDOWS ***
*** Deleting folders in C:\Archivos de programa ***
C:\Archivos de programa\WebMediaPlayer ...deleting...
C:\Archivos de programa\WebMediaPlayer deleted !
*** Deleting folders in C:\DOCUME~1\ALLUSE~1\DATOSD~1 ***
*** Deleting folders in "C:\Documents and Settings\aaron\datos de programa" ***
*** Deleting folders in "C:\Documents and Settings\aaron\MENINI~1\PROGRA~1" ***
*** Deleting folders in C:\DOCUME~1\ALLUSE~1\MENINI~1\PROGRA~1 ***
...\WebMediaPlayer ...deleting...
...\WebMediaPlayer deleted !
*** Deleting files ***
*** Deleting temporary files ***
Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Documents and Settings\aaron\configuración local\Temp done !
*** Complementary Search ***
(Search specific files)
1)Deletion with backups new Instant Access files:
2)Heuristic search and deletion with backups :
* In C:\WINDOWS\system32 *
* In "C:\Documents and Settings\aaron\configuraci¾n local\datos de programa" *
*** Copy Registry to Backupnavi folder ***
Backing up Registry done !
*** Cleaning Registry ***
Registry cleaned
*** Certificates ***
Egroup Certificate deleted !
*** Cleaning stage complete on 08/01/2008 at 11:16:46,71 ***
Y el panda:
Incidencia Estado Elemento
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Archivos de programa\Navilog1\Process.exe
Virus:Trj/Rebooter.J Desinfectado C:\Archivos de programa\Navilog1\reboot.exe
Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/Apmebf No desinfectado C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \cookies.txt[.apmebf.com/]
Spyware:Cookie/Adrevolver No desinfectado C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \cookies.txt[.adrevolver.com/]
Spyware:Cookie/Xiti No desinfectado C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \cookies.txt[.xiti.com/]
Spyware:Cookie/Statcounter No desinfectado C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \cookies.txt[.statcounter.com/]
Spyware:Cookie/Zedo No desinfectado C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \cookies.txt[.zedo.com/]
Spyware:Cookie/adultfriendfinder No desinfectado C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \cookies.txt[.adultfriendfinder.com/]
Spyware:Cookie/Weborama No desinfectado C:\Documents and Settings\aaron\Datos de programa\Mozilla\Firefox\Profiles\9hgrthvk.default \cookies.txt[.weborama.fr/]
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\aaron\Mis documentos\cura pc\SDFix.exe[SDFix\apps\Process.exe]
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado C:\fixwareout\FindT\nircmd.exe
:Eh:
Angel Doze 08/01/08, 15:54:51 Hola.
Por que la ?
:Eh:
Si lo que sale en el reporte , son "Falsos Positivos" (http://www.forospyware.com/glossary.php?do=viewglossary&term=20) , de los cuales , si te das cuenta , salen todas las herramientas que usaste , erroneamente , por que la infeccion desde un inicio era del ADWARE Navipromo. , pero bueno , parece que ya salio , solo restan 3 cosas , y son las siguientes :
Primera....
Ve a inicio , Agregar o quitar programas , Busca y desinstala la utilidad "Nivilog".
Segunda...
Descarga CCleaner (http://www.infospyware.com/Herramientas.htm), ejecútalo
Usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Despues usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
Tercera....
Busca y elimina esto :
C:\Archivos de programa\Navilog1 <<< (Toda la carpeta)
C:\Documents and Settings\aaron\Mis documentos\cura pc\SDFix.exe
C:\fixwareout\FindT\nircmd.exe
Salu2!
no olvides volver y contarnos como va la pc ?;)
Sigo con la publicidad emergente y el myspace por ejemplo entre otros ,introduzco la contraseña y me redirecciona a inicio otra vez.
Angel Doze 08/01/08, 17:10:22 Hola.
A ching...:uhm: , que habra mas por alli , en tu pc ?::pensar::
Bueno sigue estas indicaciones :
Descarga y ejecuta el "RegUnlocer" (http://www.4shared.com/file/31003892/5a68aa11/RegUnlocker_v195.html)
Marca las siguientes Casillas:
Restaurar el Archivo Hosts , por Defecto.
Eliminar Ventanas Emergentes en IE
Dale click sobre Unlock
Tambien....
Descarga SmithFraud.exe (http://www.bleepingcomputer.com/resources/link243.html)
Reinicia eh inicia en modo seguro. (http://www.forospyware.com/292284-post4.html)
Dale Click sobre el Icono de SmithFraud.
Presiona cualquier letra para continuar.
Ahora Presiona la opcion "2" "Clean" enter.
Espera a que la herramienta lleve a cabo el proceso de desinfección. El fondo de Escritorio desaparecerá. Esto es normal.
Se abrirá una ventanita con la siguiente pregunta: Registry cleaning - Do you want to clean the registry?" (¿Desea limpiar el registro?)...Pulsa sobre la tecla "Y" (Yes) para confirmar que sí y pulsa ENTER.
El ordenador se reiniciará para teminar el proceso de limpieza. Si no se reiniciara automáticamente, reinícialo manualmente.
Después de reiniciar, se generará un archivo "rapport.txt", En
En caso de que el informe no se genere automatico ve a C:\, alli encontraras el informe ,su contenido lo copias y pegas aqui.
Por Ultimo...
Descarga el SilentRunner (http://www.silentrunners.org/Silent%20Runners.vbs) (dale click con el boton derecho del ratón al enlace y luego en Guardar enlace cómo, Save as o Save Link as....)
Ejecuta el script, al hacerlo, te hará unas preguntas, en dichas preguntas contesta 'No' y 'Si' (en ese orden)....
Luego, deberás esperar (aunque parezca que no hace nada) a que te aparezca un mensaje con el botón OK
En la misma carpeta que ejecutes el script aparecerá un archivo llamado Reporte el cual deberás colocarlo aquí (si lo abres o envías antes de ver el mensaje con el botón Ok, no estará completo)
Se paciente , hasta que se complete el proceso.
salu2!
Me cuentas !:Bien:
aki te dejo los reportes:
SmitFraudFix v2.274
Scan done at 23:32:26,65, 08/01/2008
Run from C:\Documents and Settings\aaron\Escritorio\SmitfraudFix
OS: Microsoft Windows XP [Versi¢n 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix.exe by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{33BC2905-3487-4F38-95F9-706235A9FA73}: DhcpNameServer=62.42.230.24 62.42.63.52
HKLM\SYSTEM\CS1\Services\Tcpip\..\{33BC2905-3487-4F38-95F9-706235A9FA73}: DhcpNameServer=62.42.230.24 62.42.63.52
HKLM\SYSTEM\CS2\Services\Tcpip\..\{33BC2905-3487-4F38-95F9-706235A9FA73}: DhcpNameServer=62.42.230.24 62.42.63.52
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=62.42.230.24 62.42.63.52
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=62.42.230.24 62.42.63.52
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=62.42.230.24 62.42.63.52
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run \ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MsnMsgr" = ""C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"SUPERAntiSpyware" = "C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" ["SUPERAntiSpyware.com"]
"SpybotSD TeaTimer" = "C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"(Default)" = (unknown data type)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ {++}
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"LogitechCommunicationsManager" = ""C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe"" ["Labtec Inc,"]
"LogitechQuickCamRibbon" = ""C:\Archivos de programa\Labtec\WebCam10\WebCam10.exe" /hide" ["Labtec Inc."]
"QuickTime Task" = ""C:\Archivos de programa\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"HP Software Update" = ""C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"" ["Hewlett-Packard Company"]
"HP Component Manager" = ""C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"" ["Hewlett-Packard Company"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{46B37057-5BA8-4014-B28D-6448FD171A3E}\(Default) = "IE AdBlock"
-> {HKLM...CLSID} = "IE AdBlock"
\InProcServer32\(Default) = "C:\Archivos de programa\IE AdBlock\IE AdBlock.dll" ["CatenaLogic"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\ARCHIV~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extensión de paneo de pantalla del Panel de control"
-> {HKLM...CLSID} = "Extensión de paneo de pantalla del Panel de control"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extensión de icono de HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shdocvw.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\ARCHIV~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Extensión de iconos de archivo de Outlook"
\InProcServer32\(Default) = "C:\ARCHIV~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Archivos de programa\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Archivos de programa\WinRAR\rarext.dll" [null data]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Mis carpetas para compartir"
\InProcServer32\(Default) = "C:\Archivos de programa\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Archivos de programa\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\ARCHIV~1\ALCOHO~1\ALCOHO~1\axshlex.dll" ["Alcohol Soft Development Team"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Archivos de programa\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks\
<<!>> "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}" = (no title provided)
-> {HKLM...CLSID} = "SABShellExecuteHook Class"
\InProcServer32\(Default) = "C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" ["SuperAdBlocker.com"]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> !SASWinLogon\DLLName = "C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll" ["SUPERAntiSpyware.com"]
HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandler s\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Archivos de programa\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Archivos de programa\WinRAR\rarext.dll" [null data]
HKLM\SOFTWARE\Classes\Directory\shellex\ContextMen uHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Archivos de programa\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Archivos de programa\WinRAR\rarext.dll" [null data]
HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHa ndlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Archivos de programa\WinRAR\rarext.dll" [null data]
Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------
Note: detected settings may not have any effect.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System\
"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}
"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}
Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellState
Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Configura ción local\Datos de programa\Microsoft\Wallpaper1.bmp"
Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Wallpaper1.bmp"
Startup items in "aaron" & "All Users" startup folders:
-------------------------------------------------------
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
"Adobe Gamma Loader" -> shortcut to: "C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"HP Digital Imaging Monitor" -> shortcut to: "C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."]
"Inicio rápido de HP Image Zone" -> shortcut to: "C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe -s" [null data]
Enabled Scheduled Tasks:
------------------------
"1-Click Maintenance" -> launches: "C:\Archivos de programa\TuneUp Utilities 2008\OneClick.exe /schedulestart" ["TuneUp Software GmbH"]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Pa rameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Pa rameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{BE1B1F92-AC2E-4AFB-BC9D-07FE272C1373}" = "IE AdBlock Toolbar"
-> {HKLM...CLSID} = "IE AdBlock"
\InProcServer32\(Default) = "C:\Archivos de programa\IE AdBlock\IE AdBlock.dll" ["CatenaLogic"]
Explorer Bars
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Referencia"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Consola de Sun Java"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Archivos de programa\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Referencia"
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\ARCHIV~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Archivos de programa\Messenger\msmsgs.exe" [MS]
Miscellaneous IE Hijack Points
------------------------------
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Documents and Settings/All Users/Datos de programa/TuneUp Software/Common/base.css" [file not found]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Apple Mobile Device, Apple Mobile Device, ""C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Machine Debug Manager, MDM, ""C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
Servicio Lector del diario USN de Carpetas para compartir de Messenger, usnjsvc, ""C:\Archivos de programa\MSN Messenger\usnsvc.exe"" [MS]
StarWind iSCSI Service, StarWindService, "C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"]
TuneUp Ampliación del thema, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
Print Monitors:
---------------
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monito rs\
hpzsnt10\Driver = "hpzsnt10.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
---------- (launch time: 2008-01-08 23:38:41)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 49 seconds.
---------- (total run time: 95 seconds)
Angel Doze 08/01/08, 18:11:53 Hola.
Segun yo lo unico medio malo que veo es este archivo , asi que subelo a virus Total (al final del Post), para que sea escaneodo , por muchos antivirus el reporte lo copias y pegas aqui.
C:\WINDOWS\system32\hticons.dll
Descarga "PrevexCSI" (http://info.prevx.com/download.asp?grab=prevxcsi)
Click en "OK"
Ejecuta el "PrevexCSIFREE"
Acepta los terminos y condiciones (Accept the Terms & Conditions )
Dale click en "Scan Now"
Espera a que inicie el Escaneo
Al Terminar el Scan , Click en "Last Scan Results"
El Resultado que te muestra en la Pag web , lo copias y pegas aqui.
Para Finalizar presiona "Finish"
PD : En cada respuesta no olvides decirnos si vez avaces en tu pc;)
salu2!
Me saleq lo tengo limpio:
Computer Name 3a8470a004e64e5
Security Product No Recognised Security Product Reported
Windows Windows XP Professional Service Pack 2 (Build 2600) 32bit
Scans 3 (First Scan: Jan 8 23:17 UCT Last Scan: Jan 8 23:25 UCT)
Files Checked 4,089
Bad Files 0
Your Computer Status CLEAN
Angel Doze 08/01/08, 18:38:58 Hola.
PD : En cada respuesta no olvides decirnos si vez avaces en tu pc;)
Que paso con el reporte del archivo y los comentarios de como va la pc ?
Siguen saliendo alguna q otra ventana emergente,sobre todo en el fire fo,en el explorer no,
El reporte a tenerlo limpio parece q no lo genero.
Por eso copie lo q ponia al final
Angel Doze 08/01/08, 20:47:52 Hola.
Instalate el SpywareBlaster.Usalo segun su Manual. (http://www.infospyware.com/Manual%20de%20SpywareBlaster.htm)
Realiza un escaneo con el "KAspersky Antivirus Online" , copias y pegas aqui el reporte.
salu2!
Me cuentas !
Ya realice los pasos:
aki esta el informe del kaspersi:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
miércoles, 09 de enero de 2008 11:04:21
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.98.0
Ultima actualización: 9/01/2008
Registros en la base antivirus: 504631
-------------------------------------------------------------------------------
Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero
Objetivo a analizar - Mi PC:
A:\
C:\
D:\
E:\
F:\
Estadísticas:
Número de objeros analizados: 44224
Virus encontrados: 2
Objetos infectados: 12
Objetos sospechosos: 0
Duración del análisis: 00:36:27
Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2008-01-09.10-03-41.log Object is locked saltado
C:\Archivos de programa\HP\hpcoretech\hpcmerr.log Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\ApplicationHistory\hpqgalry.exe.733f6a55. ini.inuse Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\administrativeInfo.dbf Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\albumImagesTable.cdx Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\albumImagesTable.dbf Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\albumTable.cdx Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\albumTable.dbf Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\CB_Server_Errors.txt Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\EXIFTable.cdx Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\EXIFTable.dbf Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\imageTable.cdx Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\imageTable.dbf Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\imageTable.fpt Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\keywordImagesTable.cdx Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\keywordImagesTable.dbf Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\keywordTable.cdx Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\keywordTable.dbf Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\managedFolderTable.dbf Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\pathnameTable.cdx Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\pathnameTable.dbf Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\ROFImagesTable.cdx Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\ROFImagesTable.dbf Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\ROFTable.cdx Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\HP\Digital Imaging\db\ROFTable.dbf Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Historial\History.IE5\MSHist0120080109200801 10\index.dat Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Temp\hpodvd09.log Object is locked saltado
C:\Documents and Settings\aaron\Configuración local\Temp\Rar$EX00.188\Navilog1.exe/file09 Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado
C:\Documents and Settings\aaron\Configuración local\Temp\Rar$EX00.188\Navilog1.exe Inno: infectado - 1 saltado
C:\Documents and Settings\aaron\Configuración local\Temp\~DF81E3.tmp Object is locked saltado
C:\Documents and Settings\aaron\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\aaron\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SUP ERANTISPYWARE.LOG Object is locked saltado
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe/data0000.bin/stream/data0006 Infectados: not-a-virus:AdWare.Win32.NaviPromo.ce saltado
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe/data0000.bin/stream Infectados: not-a-virus:AdWare.Win32.NaviPromo.ce saltado
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe/data0000.bin Infectados: not-a-virus:AdWare.Win32.NaviPromo.ce saltado
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe EmbeddedEXE: infectado - 3 saltado
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe UPX: infectado - 3 saltado
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe PE_Patch.UPX: infectado - 3 saltado
C:\Documents and Settings\aaron\Escritorio\SmitfraudFix\Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado
C:\Documents and Settings\aaron\Escritorio\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado
C:\Documents and Settings\aaron\Escritorio\SmitfraudFix.exe/data.rar Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado
C:\Documents and Settings\aaron\Escritorio\SmitfraudFix.exe RarSFX: infectado - 2 saltado
C:\Documents and Settings\aaron\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\aaron\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{3191F6 5C-E8C4-42BE-929B-75C38D382924}.bin Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\drivers\vaxscsi.sys Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\system32\WgaLogon.dll Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
Análisis completado.
PD:lo de las ventanas de publicidad ya es insufrible....:negar:
Angel Doze 09/01/08, 12:51:16 Hola.
Primero...
*Descarga The Avenger (http://swandog46.geekstogo.com/avenger.zip) y lo guardas en el escritorio.
Dale doble click a avenger.exe del escritorio para ejecutarlo.
Debajo "Script file to execute" elige "Input Script Manually".
Haz clic en el icono de la lupa. Se abrirá una nueva ventana con el nombre "View/edit script".
Copia el texto que se encuentra en el cuadrado más abajo en la ventana que se abrio.
Files to delete:
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe
C:\Documents and Settings\aaron\Configuración local\Temp\Rar$EX00.188\Navilog1.exe
Folders to delete:
C:\Documents and Settings\aaron\Escritorio\SmitfraudFix
Pulsa sobre "Done" y haz clic sobre la luz verde del semáforo.
Haz clic en "Yes" o "Sí" cuando te pregunte las dos veces.
El ordenador se reiniciará, se abrirá y cerrará una ventanita de ejecución del comando. Esto es normal.
*Después de reiniciar, se creará un archivo log.txt ubicado en C:\avenger.txt , ese tal reporte lo pegas aquí
Realiza....
Descarga "Navipromo.zip" (http://www.alt-shift-return.org/Info/Fichiers/Navipromo07H.zip) y descomprime el contenido en el Escritorio
Reinicia en Modo Seguro (a prueba de fallos) (http://www.forospyware.com/47-post4.html)
Haz doble-click al archivo Navipromo.bat q se situa en la carpeta Navipromo, en el escritorio.
Selecciona la opción R : "Recherche et suppression automatique", pulsa la tecla ENTER y espera un poco. Cierra el reporte que va a abrirse.
Cuando es terminado, ejecuta de nuevo la herramienta, pero esta vez selecciona la opción H : "Suppression Heuristique" y pulsa la tecla ENTER. Espera de nuevo un poco, y cierra el reporte que va a abrirse.
Aki ta el reporte:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\qxsxpqxx
*******************
Script file located at: \??\C:\Documents and Settings\adodusic.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe not found!
Deletion of file C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe failed!
Could not process line:
C:\Documents and Settings\aaron\Escritorio\detodo\webmediaplayer_se tup.exe
Status: 0xc0000034
Could not open file C:\Documents and Settings\aaron\Configuración local\Temp\Rar$EX00.188\Navilog1.exe for deletion
Deletion of file C:\Documents and Settings\aaron\Configuración local\Temp\Rar$EX00.188\Navilog1.exe failed!
Could not process line:
C:\Documents and Settings\aaron\Configuración local\Temp\Rar$EX00.188\Navilog1.exe
Status: 0xc000003a
Folder C:\Documents and Settings\aaron\Escritorio\SmitfraudFix deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Tb pase el navipromo y cerre los 2 reportes como me dijiste
Angel Doze 09/01/08, 18:15:31 Hola.
Pegame aqui el reporte del Navipromo.bat.
Cuentame como va la pc
Salu2!
Ki te pego los 2 reportes de navipromo:
Rapport Navipromo.bat 0.71 effectué depuis C:\Documents and Settings\aaron\Escritorio le 09/01/2008 à 19:01:02,92
L'opération se déroule en mode sans échec sous le compte "aaron"
** Recherche...
Fin du rapport de recherche
Adware Navipromo non trouvé avec cette méthode
Engagement de la méthode Heuristique
Rapport Navipromo.bat 0.72 effectué depuis C:\WINDOWS\system32 le 09/01/2008 à 19:01:03,09
L'opération se déroule en mode sans échec sous le compte "aaron"
## Suppression Heuristique
* Backups :
Aucun résultat par la recherche heuristique
## Fin du rapport Heuristique
-------------
Rapport Navipromo.bat 0.72 effectué depuis C:\Documents and Settings\aaron\Escritorio le 09/01/2008 à 19:01:43,87
L'opération se déroule en mode sans échec sous le compte "aaron"
## Suppression Heuristique
* Backups :
Aucun résultat par la recherche heuristique
## Fin du rapport Heuristique
-------------
Rapport Navipromo.bat 0.71 effectué depuis C:\Documents and Settings\aaron\Escritorio le 10/01/2008 à 10:19:33,39
-- Le programme n'est pas lancé en mode sans échec par conséquent les résultats seront probablement faussés
** Recherche...
Fin du rapport de recherche
Adware Navipromo non trouvé avec cette méthode
Engagement de la méthode Heuristique
Rapport Navipromo.bat 0.72 effectué depuis C:\WINDOWS\system32 le 10/01/2008 à 10:19:33,45
Le programme n'est pas lancé en mode sans échec par conséquent les résultats seront probablement faussés
## Suppression Heuristique
* Backups :
Aucun résultat par la recherche heuristique
## Fin du rapport Heuristique
Rapport Navipromo.bat 0.71 effectué depuis C:\Documents and Settings\aaron\Escritorio le 09/01/2008 à 19:01:02,92
L'opération se déroule en mode sans échec sous le compte "aaron"
** Recherche...
Fin du rapport de recherche
Adware Navipromo non trouvé avec cette méthode
Engagement de la méthode Heuristique
Rapport Navipromo.bat 0.72 effectué depuis C:\WINDOWS\system32 le 09/01/2008 à 19:01:03,09
L'opération se déroule en mode sans échec sous le compte "aaron"
## Suppression Heuristique
* Backups :
Aucun résultat par la recherche heuristique
## Fin du rapport Heuristique
-------------
Rapport Navipromo.bat 0.72 effectué depuis C:\Documents and Settings\aaron\Escritorio le 09/01/2008 à 19:01:43,87
L'opération se déroule en mode sans échec sous le compte "aaron"
## Suppression Heuristique
* Backups :
Aucun résultat par la recherche heuristique
## Fin du rapport Heuristique
-------------
Rapport Navipromo.bat 0.71 effectué depuis C:\Documents and Settings\aaron\Escritorio le 10/01/2008 à 10:19:33,39
-- Le programme n'est pas lancé en mode sans échec par conséquent les résultats seront probablement faussés
** Recherche...
Fin du rapport de recherche
Adware Navipromo non trouvé avec cette méthode
Engagement de la méthode Heuristique
Rapport Navipromo.bat 0.72 effectué depuis C:\WINDOWS\system32 le 10/01/2008 à 10:19:33,45
Le programme n'est pas lancé en mode sans échec par conséquent les résultats seront probablement faussés
## Suppression Heuristique
* Backups :
Aucun résultat par la recherche heuristique
## Fin du rapport Heuristique
-------------
Rapport Navipromo.bat 0.72 effectué depuis C:\Documents and Settings\aaron\Escritorio le 10/01/2008 à 10:20:36,78
Le programme n'est pas lancé en mode sans échec par conséquent les résultats seront probablement faussés
## Suppression Heuristique
* Backups :
Aucun résultat par la recherche heuristique
## Fin du rapport Heuristique
El pc sigue =,cualkier ventana del firefox q abra salta publicidad
Angel Doze 10/01/08, 12:24:49 Hola.
Voy a pasar tu caso con un Miembro , del Staff , ya que yo ya no puedo hacer mas , habar si ellos , con las herramientas que manejan sacan la infeccion , ok , asi que espera una intervencion , espero no tarde demasiado.
salu2!
:Bien:
GuillermoTell 10/01/08, 12:37:15 Hola realiza lo siguiente:
Usa el CCleaner (http://www.forospyware.com/t105564.html)para limpiar el sistema.
Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
Descarga la herramienta ComboFix.exe (http://www.forospyware.com/sUBs/ComboFix.exe ) y guárdala tu escritorio.
-Desactiva temporalmente el Antivirus y/o Antispyware.
-Cierra todas las ventanas abiertas.
-Hace doble-clic en el archivo combofix.exe y seguí los avisos.
-Cuando termine este generara un reporte que se sitúa en C:\ComboFix.txt el cual tendrás que pegar en este mismo mensaje.
*Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
*Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.
Reinicia y nos contas los resultados.
Pega el reporte del combofix y un nuevo reporte del kaspersky Online para analizarlos. :feca:
| |