• Registrarse
  • Iniciar sesión


  • Resultados 1 al 5 de 5

    Virus Metajuan (Solucionado)

    Resumen del tema: Virus Metajuan (Solucionado) - Hola! Mi ordenador me está volviendo loca. Me ha entrado algo que parece llamarse trojan.metajuan, y que hace que se me cierre el explorer por "buffer overrun detected" (según me dice una ventana que aparece ...

      
    1. #1
      Usuario Avatar de ladymaryan
      Registrado
      feb 2008
      Ubicación
      España
      Mensajes
      7

      Virus Metajuan (Solucionado)

      Hola!

      Mi ordenador me está volviendo loca. Me ha entrado algo que parece llamarse trojan.metajuan, y que hace que se me cierre el explorer por "buffer overrun detected" (según me dice una ventana que aparece de vez en cuando), así como también no paran de abrirse ventanas de internet con publicidad.

      He intentado hacer algunas de las cosas que recomendais por el foro, pero estoy muy perdida y no se realmente que debo hacer y que no.

      Me he bajado el hijackthis y este es su log. Os agradecería si me pudieseis ayudar:

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 1711, on 04/02/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
      C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
      C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
      C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
      C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
      C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Archivos de programa\QuickTime\qttask.exe
      C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Archivos de programa\Pando Networks\Pando\pando.exe
      C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
      C:\Archivos de programa\Alwil Software\Avast4\ashSimpl.exe
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\dwwin.exe
      C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
      C:\Archivos de programa\Messenger\msmsgs.exe
      C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.onobox.com
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll
      O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
      O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [9c896fa8] rundll32.exe "C:\WINDOWS\system32\iqgohqmd.dll",b
      O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized
      O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
      O14 - IERESET.INF: START_PAGE_URL=http://www.onobox.com
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
      O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab
      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
      O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
      O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108327294368
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171059426574
      O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/4.8.4.0/hbtools.cab
      O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
      O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
      O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
      O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_ES_XP.cab
      O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
      O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe (file missing)
      O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
      O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
      O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
      O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
      O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
      O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

      --
      End of file - 7967 bytes

      Gracias de nuevo.

    2. #2
      FS-Admin
      Avatar de ElPiedra
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      37.753

      Re: Virus Metajuan

      Hola ladymaryan, te doy la bienvenida al Foro de InfoSpyware.

      Paso 1- Descarga, Instala y/o actualiza estos programas: (pero no los ejecutes aun).

      Paso 2- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:


      O4 - HKLM\..\Run: [9c896fa8] rundll32.exe "C:\WINDOWS\system32\iqgohqmd.dll",b

      O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe

      O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitial Setup1.0.0.8-2.cab

      O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/IA/sysnetsvc32_ES_XP.cab



      Paso 3- Ejecuta estas herramientas, de a una:
      • SUPERAntiSpyware


      • Antes de usar ComboFix....
      • Desactiva temporalmente el Antivirus y/o Antispyware.
      • Cierra todas las ventanas abiertas.
      • Hacele doble clic al archivo combofix.exe y seguí las instrucciones.
      • Cuando termine, generara un registro en C:\ComboFix.txt.
        • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
        • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
      • Pega el reporte de ComboFix.txt en este mismo mensaje.
      Paso 4- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

      Reinicia y nos contas los resultados. junto con el reporte de CF.

      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de ladymaryan
      Registrado
      feb 2008
      Ubicación
      España
      Mensajes
      7

      Re: Virus Metajuan

      Hola! He seguido paso a paso tus indicaciones y parece que está todo solucionado!!
      El ordenador va incluso mejor que antes del virus!
      Mil gracias!

      El log es el siguiente:

      ComboFix 08-02.05.1 - Maryan 2008-02-04 23:02:27.1 - NTFSx86
      Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.209 [GMT 1:00]
      Se ejecuta desde: C:\Documents and Settings\Maryan\Escritorio\ComboFix.exe
      * Creado un nuevo punto de restauración

      ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
      .

      (((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\WINDOWS\system32\ddaxu.dll
      C:\Archivos de programa\MyWebSearch
      C:\Archivos de programa\MyWebSearch\bar\History\search
      C:\Archivos de programa\MyWebSearch\bar\Settings\s_pid.dat
      C:\Archivos de programa\MyWebSearch\bar\Settings\settings.dat
      C:\Archivos de programa\MyWebSearch\bar\Settings\settings.dat.bak
      C:\Archivos de programa\MyWebSearch\bar\Settings\settings.htm
      C:\Archivos de programa\MyWebSearch\bar\Settings\settings.htm.bak
      C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat
      C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat
      C:\WINDOWS\cookies.ini
      C:\WINDOWS\Downloaded Program Files\HbInstIE.dll
      C:\WINDOWS\system32\ddaxu.dll
      C:\WINDOWS\system32\dmqhogqi.ini
      C:\WINDOWS\system32\eekauudn.ini
      C:\WINDOWS\system32\gpccdhdp.ini
      C:\WINDOWS\system32\iwpnrnqb.ini
      C:\WINDOWS\system32\jeafuqis.ini
      C:\WINDOWS\system32\jlynrxey.ini
      C:\WINDOWS\system32\poxneoco.ini
      C:\WINDOWS\system32\qbxnrmju.ini
      C:\WINDOWS\system32\siacmthh.ini
      C:\WINDOWS\system32\ssynghki.ini
      C:\WINDOWS\system32\uxadd.ini
      C:\WINDOWS\system32\uxadd.ini2
      C:\WINDOWS\system32\wasiiwnt.ini
      C:\WINDOWS\system32\wskpmkie.ini
      C:\WINDOWS\system32\yjnjpjfo.ini
      C:\WINDOWS\tmlpcert2005

      ----- BITS: Possible infected sites -----

      hxxp://www.download.windowsupdate.com
      .
      (((((((((((((((((( Archivos creados desde 2008-01-04 - 2008-02-04 )))))))))))))))))))))))))))))))))
      .

      2008-02-04 22:20 . 2008-02-04 22:20 <DIR> d-------- C:\Documents and Settings\Maryan\Datos de programa\SUPERAntiSpyware.com
      2008-02-04 22:20 . 2008-02-04 22:20 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
      2008-02-04 22:20 . 2008-02-04 22:21 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
      2008-02-04 22:19 . 2008-02-04 22:19 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
      2008-02-04 16:42 . 2008-02-04 16:42 <DIR> d-------- C:\Archivos de programa\Alwil Software
      2008-02-04 16:42 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
      2008-02-04 16:42 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
      2008-02-04 16:42 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
      2008-02-04 16:42 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
      2008-02-04 16:42 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
      2008-02-04 16:42 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
      2008-02-04 16:42 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
      2008-02-04 16:42 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
      2008-02-04 16:31 . 2008-02-04 16:31 <DIR> d-------- C:\Archivos de programa\Trend Micro
      2008-02-04 15:52 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS
      2008-02-04 15:51 . 2007-06-08 09:44 8,576 --a------ C:\WINDOWS\system32\drivers\ajihpcfoigxi.sys
      2008-02-04 15:39 . 2008-02-04 16:04 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
      2008-02-04 15:39 . 2008-02-04 15:39 30,590 --a------ C:\WINDOWS\system32\pavas.ico
      2008-02-03 20:51 . 2008-02-03 20:51 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
      2008-02-03 20:36 . 2008-02-03 20:37 <DIR> d-------- C:\WINDOWS\BDOSCAN8
      2008-02-03 16:45 . 2008-02-04 15:39 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
      2008-02-03 16:45 . 2008-02-04 15:39 1,406 --a------ C:\WINDOWS\system32\Help.ico
      2008-02-02 22:10 . 2008-02-02 22:10 54,156 --ah----- C:\WINDOWS\QTFont.qfn
      2008-02-02 22:10 . 2008-02-02 22:10 1,409 --a------ C:\WINDOWS\QTFont.for
      2008-02-02 14:59 . 2008-02-02 15:06 <DIR> d-------- C:\Archivos de programa\Norton AntiVirus
      2008-02-02 14:58 . 2005-09-17 09:20 108,168 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
      2008-02-02 14:58 . 2005-09-17 09:20 87,768 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
      2008-02-02 14:58 . 2008-02-02 14:58 10,344 --a------ C:\WINDOWS\system32\drivers\symlcbrd.sys
      2008-02-01 23:29 . 2008-02-04 16:12 <DIR> d-------- C:\Archivos de programa\Symantec
      2008-02-01 21:31 . 2008-02-02 15:39 <DIR> d-a------ C:\Documents and Settings\All Users\Datos de programa\TEMP
      2008-02-01 21:31 . 2008-02-01 21:31 37,888 --a------ C:\WINDOWS\system32\rar.exe
      2008-01-20 21:53 . 2008-01-20 21:53 <DIR> d-------- C:\Archivos de programa\Archivos comunes\ODBC
      2008-01-20 18:18 . 2008-01-20 18:18 <DIR> d-------- C:\Documents and Settings\Maryan\WINDOWS
      2008-01-09 15:01 . 2008-01-09 15:01 53,248 --a------ C:\WINDOWS\bdoscandel.exe
      2008-01-09 15:01 . 2008-01-09 15:01 453 --a------ C:\WINDOWS\bdoscandellang.ini
      2008-01-07 20:40 . 2004-08-04 07:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
      2008-01-07 20:40 . 2004-08-04 07:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
      2008-01-06 01:27 . 2008-01-06 01:27 <DIR> d-------- C:\Archivos de programa\DivX Pro VFW
      2008-01-06 01:27 . 2007-11-29 23:30 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
      2008-01-06 01:27 . 2007-12-04 02:33 682,496 --a------ C:\WINDOWS\system32\divx.dll
      2008-01-06 01:27 . 2007-11-29 23:28 81,920 --a------ C:\WINDOWS\system32\dpl100.dll
      2008-01-05 20:24 . 2007-07-25 14:24 1,559,040 --a------ C:\WINDOWS\system32\xvidcore.dll
      2008-01-05 20:24 . 2007-09-04 17:56 164,352 --a------ C:\WINDOWS\system32\unrar.dll

      .
      (((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-02-04 15:13 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Symantec
      2008-02-04 15:12 --------- d-----w C:\Archivos de programa\QuickTime
      2008-02-04 15:09 --------- d-----w C:\Archivos de programa\Google
      2008-02-04 15:04 --------- d-----w C:\Archivos de programa\Archivos comunes\Symantec Shared
      2008-02-04 14:32 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
      2008-02-04 00:08 --------- d-----w C:\Documents and Settings\Maryan\Datos de programa\Symantec
      2008-02-02 13:21 --------- d-----w C:\Archivos de programa\eMule
      2008-01-19 23:41 --------- d-----w C:\Documents and Settings\Maryan\Datos de programa\AdobeUM
      2008-01-13 16:10 --------- d-----w C:\Documents and Settings\Maryan\Datos de programa\U3
      2008-01-06 17:44 --------- d-----w C:\Documents and Settings\Maryan\Datos de programa\BSplayer Pro
      2008-01-05 19:24 --------- d-----w C:\Archivos de programa\K-Lite Codec Pack
      2008-01-03 21:52 --------- d-----w C:\Archivos de programa\Windows Live
      2008-01-03 21:36 --------- d-----w C:\Archivos de programa\Windows Media Connect 2
      2008-01-03 21:29 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\WLInstaller
      2007-12-22 08:14 --------- d-----w C:\Archivos de programa\Microsoft SQL Server Compact Edition
      2007-12-04 20:27 --------- d-----w C:\Archivos de programa\Winamp
      2007-11-13 10:29 84,258 ----a-w C:\WINDOWS\Fonts\alpha_smoke.zip
      2006-06-15 18:40 35,680 ----a-w C:\Documents and Settings\Maryan\Datos de programa\GDIPFONTCACHEV1.DAT
      .

      ((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Pando"="C:\Archivos de programa\Pando Networks\Pando\Pando.exe" [2007-10-05 11:33 5207368]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 23:43 110592 C:\WINDOWS\system32\bthprops.cpl]
      "QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2005-11-22 16:10 155648]
      "Florikey"="" []
      "ccApp"="C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" [2005-09-17 09:27 52848]
      "avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 23:42 15360]
      "NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-04-03 00:40 49152]

      [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
      "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
      C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Adobe Reader Speed Launch.lnk]
      path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Adobe Reader Speed Launch.lnk
      backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Bluetooth Manager.lnk]
      path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Bluetooth Manager.lnk
      backup=C:\WINDOWS\pss\Bluetooth Manager.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^GStartup.lnk]
      path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\GStartup.lnk
      backup=C:\WINDOWS\pss\GStartup.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Inicio rápido de Adobe Reader.lnk]
      path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Inicio rápido de Adobe Reader.lnk
      backup=C:\WINDOWS\pss\Inicio rápido de Adobe Reader.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Microsoft Office.lnk]
      path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Microsoft Office.lnk
      backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^WinZip Quick Pick.lnk]
      path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\WinZip Quick Pick.lnk
      backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^Maryan^Menú Inicio^Programas^Inicio^Adobe Gamma.lnk]
      path=C:\Documents and Settings\Maryan\Menú Inicio\Programas\Inicio\Adobe Gamma.lnk
      backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
      --a------ 2005-09-17 09:27 52848 C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus CX3200]
      --a------ 2002-07-01 04:05 74752 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mouseElf]
      --a------ 2004-09-20 07:16 196608 C:\ARCHIV~1\SCROLL~1\MouseElf.EXE

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
      --a------ 2001-07-09 09:50 155648 C:\WINDOWS\System32\\NeroCheck.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
      --a------ 2001-07-09 09:50 155648 C:\WINDOWS\system32\NeroCheck.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
      -ra------ 2003-04-03 00:40 4616192 C:\WINDOWS\System32\NvCpl.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIEW]
      -ra------ 2003-04-03 00:40 831557 C:\WINDOWS\system32\nview.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
      -ra------ 2003-04-03 00:40 323584 C:\WINDOWS\system32\nwiz.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
      C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PicasaNet]
      C:\Archivos de programa\Hello\Hello.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
      --a------ 2005-11-22 16:10 155648 C:\Archivos de programa\QuickTime\qttask.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ScanRegistry]
      C:\W

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Smapp]
      --a------ 2002-10-11 18:26 98304 C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSC_UserPrompt]
      --a------ 2004-11-03 00:59 218240 C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
      --a------ 2003-12-13 01:50 33792 C:\Archivos de programa\Winamp\winampa.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
      C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
      "usnjsvc"=3 (0x3)
      "Symantec Core LC"=2 (0x2)
      "SPBBCSvc"=3 (0x3)
      "SoundMAX Agent Service (default)"=2 (0x2)
      "SNDSrvc"=2 (0x2)
      "ScsiAccess"=2 (0x2)
      "SAVScan"=3 (0x3)
      "NVSvc"=2 (0x2)
      "NSCService"=3 (0x3)
      "NPFMntor"=2 (0x2)
      "navapsvc"=2 (0x2)
      "LiveUpdate"=3 (0x3)
      "IDriverT"=3 (0x3)
      "gusvc"=3 (0x3)
      "EPSONStatusAgent2"=2 (0x2)
      "EpsonBidirectionalService"=2 (0x2)
      "ccSetMgr"=2 (0x2)
      "ccEvtMgr"=2 (0x2)
      "Automatic LiveUpdate Scheduler"=2 (0x2)
      "Adobe LM Service"=3 (0x3)

      S3 genmcmn;Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gmfiltr.sys [2004-09-15 09:53]
      S3 genmcmnUSB;USB Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gflmouhid.sys [2004-04-19 07:01]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c25d20e9-e345-11db-bf42-0002441fb265}]
      \Shell\AutoRun\command - E:\LaunchU3.exe -a

      .
      Contenido de carpeta 'Tareas Programadas'
      "2008-02-02 14:09:21 C:\WINDOWS\Tasks\Norton AntiVirus - Run Full System Scan - Maryan.job"
      - C:\ARCHIV~1\NORTON~1\Navw32.exei/TASK:
      "2008-02-04 20:18:21 C:\WINDOWS\Tasks\Symantec NetDetect.job"
      - C:\Archivos de programa\Symantec\LiveUpdate\NDETECT.EXE
      .
      **************************************************************************

      catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-02-04 23:09:17
      Windows 5.1.2600 Service Pack 2 NTFS

      escaneando procesos ocultos ...

      escaneando entradas ocultas de autostart ...

      escaneando archivos ocultos ...

      el escaneo se completo con exito
      archivos ocultos: 0

      **************************************************************************
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
      C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
      C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
      C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
      C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
      C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe
      C:\WINDOWS\System32\wdfmgr.exe
      C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
      C:\Archivos de programa\Messenger\msmsgs.exe
      .
      **************************************************************************
      .
      Tiempo completado: 2008-02-04 23:13:09 - machine was rebooted
      ComboFix-quarantined-files.txt 2008-02-04 22:13:05
      .
      2008-02-03 15:38:12 --- E O F ---

      Hasta la próxima!

    4. #4
      FS-Admin
      Avatar de ElPiedra
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      37.753

      Re: Virus Metajuan

      Hola, ComboFix ya se encargo de eliminar los archivos de malwares encontrados en tu PC, por lo que si todo esta funcionado bien, damos por terminado el tema.

      Para terminar solo te quedaría desinstalar CF de la siguiente manera:


      • Ir a Inicio > Ejecutar
      • Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:


      • Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")



      Para evitar este tipo de infecciones te recomiendo usar un navegador mas seguro como Firefox
      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de ladymaryan
      Registrado
      feb 2008
      Ubicación
      España
      Mensajes
      7

      Re: Virus Metajuan (Solucionado)

      Hola! He hecho lo que me dices para desinstalar el Combofix pero al hacerlo me sale una ventana que dice:
      "Windows no puede encontrar el archivo "ComboFix". Asegúrese de que la ruta y el nombre del archivo están escritos correctamente y vuelva a intentarlo... "
      Gracias de nuevo!! El ordenador funciona a la parfección!