Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

el reporte de avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\NirCmd.exe" deleted successfully.
Folder "C:\WINDOWS\system32\daSgo01" deleted successfully.

Error: registry key "hkey_local_machine\software\microsoft\windows\cur rentversion\run\hostsrv" not found!
Deletion of registry key "hkey_local_machine\software\microsoft\windows\cur rentversion\run\hostsrv" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Hola comanchero antes que nada recordarte que existe una gran diferencia horaria entre nuestros paises, además no mantengo todo el día en el foro por lo que la respuesta se puede demorar un poco.

En algunas computadoras el modo seguro esta configurado para activarse con la tecla F5 en lugar de F8, prueba con F5 y me comentas si dio resultado.

Por otro lado The Avenger elimino correctamente el archivo y la carpeta que mende eliminar, no asi mismo la entrada de registro, aunque esto no es mayor problema por si solo.

Cuentame si ya podes ejecutar correctamente el Antivirus y como esta trabajando el PC.

el pc funciona correctamente, el antivirus sigue igual aunque hubo un rato en que no estaba guardando mi pc y dejo de defender vamos que se deshabilito pero despues de hacer todo eso lo pude volver a poner para que se habilitara, pero sigue sin actualizar y la licencia sigue poniendo que termino en el 2006

Saca tu log de hijackthis y lo pegas en este mismo tema, sigue las indicaciones del siguiente enlace: Descargar y sacar el log de HijackThis 2.0.2

Saludos.

aqui el log de hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:11:27, on 19/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE
C:\Archivos de programa\WLAN11G\WLAN11gSTA.EXE
C:\WINDOWS\system32\PRISMSVR.EXE
E:\TomTomHOME.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ipunkforos.com/viewforum.php?f=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [WLAN11gSTA.EXE] "C:\Archivos de programa\WLAN11G\WLAN11gSTA.EXE" /START
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [TomTomHOME.exe] E:\TomTomHOME.exe -s
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Documents and Settings\Dario\Mis documentos\eMule\emule.exe -AutoStart
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: urqpqop - urqpqop.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4981 bytes

Hola comanchero por favor realiza los siguientes pasos en modo normal:

Paso 1

• Apaga el "Restaurar Sistema" (solo en Win Me y XP) y activa ver archivos ocultos.
• Descargue, instale y/o actualice los siguientes programas (pero no los ejecute aun).

• SuperAntiSpyware
  
  
• ComboFix.exe y guárdala en el escritorio.
  
  
• CCleaner

Paso 2

• A continuación con todos los programas cerrados ejecuta Hijackthis y dale a la siguiente entrada:

O20 - Winlogon Notify: urqpqop - urqpqop.dll (file missing)



Paso 3
Ejecuta estos programas (de a uno).

• SuperAntiSpyware <--- Realiza un escaneo completo del PC y elimina las infecciones que este encuentre.

• Usa el CCleaner para limpiar el sistema.
• Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
• Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Paso 4

• Antes de usar ComboFix....
• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo combofix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
• Pega el reporte de ComboFix.txt en este mismo mensaje.

Reinicia y nos dejas los reportes.

NOTA:
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.

aqui el reporte de combo fix:

ComboFix 08-04-18.3 - Dario 2008-04-20 10:44:38.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.667 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\Dario\Escritorio\ComboFix.exe

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\setup.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_6TO4
-------\Service_6to4


(((((((((((((((((( Archivos creados desde 2008-03-20 - 2008-04-20 )))))))))))))))))))))))))))))))))
.

2011-06-18 19:59 . 2011-06-18 20:01 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2011-06-18 19:59 . 2011-06-18 20:19 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-04-20 10:48 . 2008-04-20 10:48 <DIR> d-------- C:\WINDOWS\system32\AVGUARD_480d4bc9
2008-04-20 10:15 . 2008-04-20 10:15 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-04-19 22:11 . 2008-04-19 22:11 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-04-19 20:12 . 2008-04-20 10:41 <DIR> d-------- C:\WINDOWS\system32\432591
2008-04-19 18:38 . 2008-04-19 18:38 <DIR> d-------- C:\Documents and Settings\LocalService\Datos de programa\AdobeUM
2008-04-19 14:07 . 2008-04-19 14:07 608,448 --a------ C:\WINDOWS\system32\comctl32.ocx
2008-04-19 12:46 . 2008-04-20 10:16 <DIR> d-------- C:\Documents and Settings\Dario\Datos de programa\SUPERAntiSpyware.com
2008-04-19 12:46 . 2008-04-19 12:46 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-04-19 12:46 . 2008-04-20 10:22 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-04-19 11:56 . 2008-04-19 11:56 <DIR> d-------- C:\Documents and Settings\Dario\Datos de programa\Malwarebytes
2008-04-19 11:56 . 2008-04-19 11:56 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-04-19 11:56 . 2008-04-19 11:56 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-04-18 23:20 . 2008-04-19 18:39 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\AntiVir PersonalEdition Classic
2008-04-18 22:43 . 2008-04-18 22:44 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-04-14 05:22 . 2005-05-31 12:25 23,552 --a------ C:\WINDOWS\system32\Tabs.ocx

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-04-20 08:43 --------- d-----w C:\Archivos de programa\CCleaner
2008-04-18 18:34 --------- d-----w C:\Archivos de programa\Soulseek
2008-04-18 18:04 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-03-13 20:56 48,640 ----a-w C:\Documents and Settings\Dario\timeseal.exe
2008-03-06 21:00 --------- d-----w C:\Documents and Settings\Dario\Datos de programa\Orbit
2008-02-12 22:05 691,545 ----a-w C:\WINDOWS\unins000.exe
2005-11-03 16:20 18,480 ----a-w C:\Documents and Settings\Dario\Datos de programa\GDIPFONTCACHEV1.DAT
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2007-12-12 00:30 73,760 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
.

------- Sigcheck -------

2006-02-09 22:55 658944 3a83bb824db6c6c007f53e5286695698 C:\WINDOWS\system32\WININET.dll
2004-08-20 14:00 658944 80bb109560a23b9c18427855ca5305e6 C:\WINDOWS\system32\dllcache\wininet.dll
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 14:00 15360]
"SpybotSD TeaTimer"="C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968]
"eMuleAutoStart"="C:\Documents and Settings\Dario\Mis documentos\eMule\emule.exe" [2006-09-14 16:15 5001216]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunOnce]
"FlashPlayerUpdate"="C:\WINDOWS\system32\Macromed\ Flash\FlashUtil9b.exe" [2006-11-10 00:46 190072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-07-13 02:50 4112384]
"nwiz"="nwiz.exe" [2004-07-13 02:50 843776 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray. dll" [2004-07-13 02:50 81920]
"EPSON Stylus C42 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_S10IC2.exe" [2002-02-19 05:03 74240]
"HostSrv"="" []
"WLAN11gSTA.EXE"="C:\Archivos de programa\WLAN11G\WLAN11gSTA.exe" [2004-06-14 15:43 196608]
"PRISMSVR.EXE"="C:\WINDOWS\system32\PRISMSVR.e xe" [2004-03-04 14:40 282710]
"TomTomHOME.exe"="E:\TomTomHOME.exe" [2007-05-15 17:34 3975848]
"avgnt"="C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" [2006-01-18 15:52 229416]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 14:00 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqpqop]

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"C:\\Documents and Settings\\Dario\\Mis documentos\\eMule\\emule.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"E:\\BitLord\\BitLord.exe"=
"C:\\Documents and Settings\\Dario\\Escritorio\\slsk.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgn tmgr.sys [2005-07-04 11:58]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntd d.sys [2006-01-31 11:54]
S3 ATMELFVNETusb(505A_2958)(R);ATMEL FVNETusb(505A_2958)(R) Service for ATMEL USB FastVNET (505A);C:\WINDOWS\system32\DRIVERS\vnet5a8x.sys []
S3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys []
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

*Newly Created Service* - SASDIFSV
.
************************************************** ************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-20 10:48:32
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
.
************************************************** ************************
.
Tiempo completado: 2008-04-20 10:52:23 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-20 08:52:18

9 dirs 21,665,378,304 bytes libres
10 dirs 21,687,324,672 bytes libres

118

la maquina va bastante bien pero la barra de herramientas ya no muestra el simbolo de internet, ni el antivirus y tampoco el residente de spybot, todo esto despues de usar el combofix

y la licencia de avira antivir sigue igual, diciendo que termino en 2006

del superantispyware no hay ningun reporte no??

me teneis en ascuas