Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Bueno antes q nada me queria disculpar x lo q hice antes tuvieron razon al banearme son sus reglas y no las quise seguir. Bueno pues hoy si cumplire y en verdad perdon

Logfile of HijackThis v1.99.1
Scan saved at 14:02:56, on 24/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\Integrator.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://e1.rd.yahoo.com/customize/ie/...arch.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecu...th.srf?lc=3082
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FLASHGET\jccatch.dll
O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [Hare] C:\Archivos de programa\Dachshund Software\Hare\Hare.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: Add to &LinkFox - res://C:\ARCHIV~1\TWEAKM~1\TweakBHO.dll/IESCRIPT
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ajuste rápido de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by20fd.bay20.hotmail.msn.com/...s/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\ARCHIV~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\
O20 - Winlogon Notify: URL - C:\WINDOWS\
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Gene6 FTP Server (G6FTPServer) - Unknown owner - C:\Archivos de programa\Gene6 FTP Server\G6FTPSERVER.EXE (file missing)
O23 - Service: hpdj - HP - C:\DOCUME~1\USUARIO\CONFIG~1\Temp\hpdj.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe






Bueno luego tengo el nod32 y el spysweeper y el outpost creen q con eso estoy bien protegido y estoy seguro q tengo un troyan ADD.DLL O , EXE NO qerdo pero siempre q estta trabajando el virus lo korto con el administrador de tareas bueno escaneo con el nod32 y el spysweeper y nunca me detectan ese viryus como lo puedo eliminar.... una preg + soy fanatico del yahoo pool :) pero se me a estado congelando la makina qando juego no se si sera el virus o q pero antes qando usaba modem me funcionaba bien y ahora q tengo rsdi de 128 no :( mm sera x la version del java es q actualize a la mas nueva y comenze a tener problemas :s qando usaba modem tenia una version en la q no sale la tasa de cafe azul con rojo si no el avion cre q es blanco con negro pero no se donde allarlo en java.com hay un lugar donde dan para descargar alguien sabe? versiones antiguas pero nada wenu espero ayuda :) :-O olvide algo tengo en mi pc disco c archivos de pro.... una carpeta q se llama microsoft frontpage y no puedo eliminarla o cambiarle el nombre pero no con killbox x_X no se q es pero el mocosoft front page no es

Gracias desde ahora

Bueno pensandolo bien el nod32 ya no me detecta nada :s no se q hice tal ves es pq instale la version 2.51.12 de 64 bit y no es comàtible? mi procesador es Adm-K6(tm) 3D processor de 533 :s como veran mi pc es un asco en junio tal ves compre otra

el winlog.exe es un virus?

Hola!!!

Bueno, eso de crearte un nuevo usuario cuando fuiste baneado, deberías haberlo consultado antes .

Estoy convencido de que tu comportamiento en este foro no se va a volver a repetir, así que voy a darte otra oportunidad y voy a dejarte este usuario.

Si por el contrario vuelves a infrigir las normas del foro, me ocuparé personalmente de que no puedas volver a crear ningún otro usuario. Que sepas que tengo muchas cosas que hacer y no me gusta perder el tiempo con "listillos", así que espero que tu no estés dentro del grupo de los "listillos"

Bueno, a lo que vamos...

Respecto a las actualizaciones de java, las puedes desinstalar desde Agregar/Quitar Programas, de todos modos no creo que ese sea tu problema.

En cuanto a la carpeta microsoft frontpage, la crea el Front Page, así que no te preocupes. Debería preocuparte sólo si no tuvieras el Front Page instalado.

Sobre el archivo winlog.exe, puede ser legítimo si utilizas el software Salfeld Personal Security Manager, o puede ser un virus. Para salir de dudas analízalo en Virus Total y nos copias aquí los resultados.

En cuanto a tu log, sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Reinicia a prueba de fallos

4) Ejecuta HijackThis con todos los programas cerrados y dale Fix checked a:

O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - (no file)

O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)

O20 - Winlogon Notify: OptimalLayout - C:\WINDOWS\

O20 - Winlogon Notify: URL - C:\WINDOWS\

O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe (file missing)

5) Busca y elimina este archivo:

C:\WINDOWS\spoollv.exe

Para archivos que no se dejen eliminar usa KillBox

6) Reinicia normal y finaliza con estos pasos:

- Pasa al menos 2 de estos Antivirus Online

- Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

- Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

Vuelve a reiniciar, deshaz los cambios de los apartados 1 y 2 y nos cuentas los resultados.

Saludos

ok gracias x la oportunidad bueno respondiste a todo expeto asi estoy bien ptrotegido con nod32, spysweeper, y outpost de firewall.

y desde hace time nod32 no me detecta ningun virus no se si es pq instale la version de 64 bit arriba deje la marka de mi procesador se si es compatible


Ps: si me preocupo pq no instale el front page nunka ni vino con el windows si no q lo oqpaba y baje esa carpta del limewire y la puse en mi discoduro y ahora no quiere salir q clase de tonto soy


Ok siguiendo instrucciones ahorita

Bueno, pues con esa combinación si que estás bien protegido .

Ahora, dado que no andas muy sobrado de máquina que digamos, yo cambiaría el SpySweeper por Spybot + SpywareBlaster.

¿Qué es lo que hay dentro de la carpeta microsoft frontpage? ¿por qué no la puedes eliminar?.

¿Has probado a eliminar primero su contenido, usando KillBox para los archivos que no se dejen eliminar (no trates de eliminar con KillBox la carpeta directamente), y después eliminando la propia carpeta?

Saludos

¿Qué es lo que hay dentro de la carpeta microsoft frontpage? ¿por qué no la puedes eliminar?.[/QUOTE]
LO PUDE ELIMINAR EN MODO APREUBA DE FALLOS LO RARO ES Q NO HABIA NADA DENTRO
Saludos[/QUOTE]LO PUDE ELIMINAR EN MODO APREUBA DE FALLOS LO RARO ES Q NO HABIA NADA DENTRO

GRACIAS LO DEL JAVA POS LO BUSKARE YO NO CREO Q NADIE SEPA DONDE CONCEGUIR LA VERSION DE LA Q HABLO X CIERTO YA NO ME SALE EL PROCESO SE SPOO ASE UN AÑO LO TENIA AHI Y YO LO MIRABA Y PENSABA Q ERA UN PROCESO NORMAL ESE VIRUS ESTABA HACIENDO FOESTA


LO DEL NOD32 SI ES COMPATIBLE VERDAD SERA Q NO TENGO VIRUS O QUE Q HACE 1 MES NO ME DETECTA NINGUN VIRUS?

bueno gracias x todo ahorita estoy descargando lo q me recomndaste lo q si es q winlog.exe no no intale lo q mencionaste ^ a lo mejor si es un virus y no entendi muy bien lo q dijiste q hiciera

Con esos 2 es suficiente o siempre instalo el ad-ware?

LO elimino en modo a prueba de fallos y sigue creandose ella sola qando inicio normalmente y no hay nada dentro al menos visible
Si pero solo en modo a prueba de fallos puede el ikill :s ni aunque la reinicie

x ultimo al final como no tengo instalado lo q e dijiste el winlogon.exe no es nada?

Bueno, vamos a ver

Lo de java busca aquí a ver si es está la versión que quieres.

En cuanto a la carpeta "microsoft frontpage", la crea el FrontPage. Es normal que no la puedas eliminar. Front Page la usa para para evitar el acceso simultáneo a los recursos del servidor Web, esto lo hace creando un directorio temporal cuando se encuentra en actividad. Cuando está en inactividad esta carpeta aparece como de 0 bytes, y no encontrarás ningún archivo dentro, pero no la podrás eliminar. Sigo pensando que tienes instalado el Front Page o lo has tenido instalado y lo has desinstalado de mala manera. Puedes probar a reinstalar FrontPage y desinstalarlo de forma adecuada, o simplemente olvidarte de esa carpeta ya que no es nada malo y no te ocupa espacio.

Eso lo dejo a tu opción, mientras no lo tengas como residente junto al SpyBot no hay problema. Puedes poner SpyBot como residente y usar Ad-Aware para los escaneos.

Vamos a ver, en que quedamos, no es lo mismo winlogon.exe que winlog.exe.

Analiza el archivo en Virus Total, lo subes y lo analizas. Puedes hacerlo en la parte inferior del enlace que te puse o directamente en la página de virus total:
http://www.virustotal.com/flash/index_es.html

Saludos