Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola me dirijo a bosotros para pedir ayuda con este problema que tengo en el pc.


Hace una semana que tengo un problema con el troyano CTF.MON.EXE y aunque algunos me direis que es un proceso del Win Office, en este caso no es asiacorde a lo que he leido en la web, me esplico;

1 Me aparece de la noche a la mañana en el boot Ini, y yo no lo he activado como programa de arranque,ya que el Office lo utilizo y nunca salia en el boot Ini al arrancar. puesto que para que no tarde son unicamente el antivirus y los antiespias los que carga al inicio.

2 A creado funciones exe. en System y System32 como CTF.MON.EXE .

3 A creado un monton de llaves en el registro, las cuales he borrado a destajo.

Ahora ya no se como se llama, ni por donde se esconde, ya que he limitado todo el trafico Web para evitar que pueda conectar con su cliente, pero ni con eso deja de funcionar, solo os digo que los sintomas son como sigue, la cpu va al tope aunque no este corriendo ningun programa o el firefox, la luz roja del PC siempre esta activa y lo que +++ desespera es el continuo cliclic clac, cliclic clac, del disco duro, como si estuviera rayado y no tira palante, tambien me tarda un monton en cargar los programas y el acceso a la Web pues, que se queda colgado la mayoria de veces.

Ya le pasado el Kaspersky en profundidad qitando el restaurar sistema,, en modo a prueva de fallos, y todo con el Spy sweeper, adaware, Sin Spias, The cleaner,Spy Subtrabs, y por ultimo recurro a bosotros, ya que yo no se hacerlo mejor, y quitarme al bichejo que tenga colado en no se donde,

Hay algun parche o aplicaciòn que le pueda meter para no tener que formatear, ya que mirando por internet, las soluciones, si las hay, son en lenguaje MS2 para entrar en esa aplicación y borrarla, puesto que los antivirus y los spyware se los salta y no le ecanean,o y esto es definitivo : FORMATEAR el disco


Os pego una copia del Hijackthis con los datos para que me digais que me esta tocando los wuitos .

Gracias por buestra ayuda y tiempo

Logfile of HijackThis v1.99.1
Scan saved at 11:33:44, on 19/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\ARCHIV~1\TWEAKM~1\TMTray.exe
C:\Archivos de programa\The Cleaner\tcm.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\ARCHIV~1\Agnitum\OUTPOS~1\op_viewer.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\Archivos de programa\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\- PACK_ PROTECION_ VIRUS\2 ^ Paq_anti-Troyanos _Hackers ^\^^ 2_HijackThis 1.98.2\HijackThis 1.99\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TweakMASTER PRO Component - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - C:\ARCHIV~1\TWEAKM~1\TweakBHO.dll
O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [TweakMASTER] C:\ARCHIV~1\TWEAKM~1\TMTray.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [SunServer] C:\Archivos de programa\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O8 - Extra context menu item: Añadir a &LinkFox - res://C:\ARCHIV~1\TWEAKM~1\TweakBHO.dll/IESCRIPT
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Ajuste rápido de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130094388647
O20 - AppInit_DLLs: C:\ARCHIV~1\Agnitum\OUTPOS~1\wl_hook.dll C:\ARCHIV~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDSched.exe


Os pego tambien un listado de los puertos en funciones por si alguno es del troyano.

Conexiones activas

Proto Dirección local Dirección remota Estado
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:803 0.0.0.0:0 LISTENING
TCP 81.202.233.79:139 0.0.0.0:0 LISTENING
TCP 81.202.233.79:1112 66.249.93.104:80 ESTABLISHED
TCP 81.202.233.79:1132 66.249.93.104:80 ESTABLISHED
TCP 81.202.233.79:1133 12.120.29.14:80 TIME_WAIT
TCP 81.202.233.79:1134 12.120.29.14:80 TIME_WAIT
TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1082 127.0.0.1:1083 ESTABLISHED
TCP 127.0.0.1:1083 127.0.0.1:1082 ESTABLISHED
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1097 *:*
UDP 0.0.0.0:1106 *:*
UDP 81.202.233.79:123 *:*
UDP 81.202.233.79:137 *:*
UDP 81.202.233.79:138 *:*
UDP 81.202.233.79:1900 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1029 *:*
UDP 127.0.0.1:1900 *:*
UDP 192.168.100.11:1028 *:*

Hola pikarodo, te doy la bienvenida al Foro de InfoSpyware

En tu log de HijackThis no sale nada infectado.

Realiza un escaneo online con "Ewido Scanner Online" y con Kaspesky Antivirus.

Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos pegas los resultados de los Antivirus online en este mensaje.

Salu2