Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Resulta que me fui a revisar un pc, un intel para ser mas específico, es de

mi amiga y me dijo que el dia anterior había descargado photoshop en ares y que

lo trabajo... al día siguiente cuando encendió el computador no cargaba windows

empezaba mostrando la pantalla de windows y luego se bloqueaba ahi se

quedaba con esa imagen fija y no pasaba.

bueno pues ya habia tenido casos así y pensé que seria fácil decidi formatear pero

primero utilizar un windows live cd para salvar la información,

pero ocurre la desgracia de que también se bloqueaba al cargar mostraba la

imagen y se quedaba ahí, intente con el cd de windows reinstalar windows pero al

llegar a la parte donde la pantalla se pone negra y muestra los discos duros se

quedaba ahi bloqueado tambien...



entonces que pasa? pense un virus en el disco duro pero si el windows live cd no

necesita disco duro porque tambien se bloqueaba?

he escuchado de virus en la bios que no dejan hacer nada sera esto una posibilidad y si lo fuera como lo elimino

gracias por su atención!

Hola


¿has comprobado la fuente de alimentación?

FAQ's de Hardware

O al menos dinos los voltajes que tira en la Bios "system monitors" aunque lo más fiable es hacerle un test y medir en el momento del bloqueo, es decir deja los tester pinchados en el conector mientras trabajas

Tambien sería bueno que hicierais una limpieza interna

Limpieza del PC y sus periféricos





Saludos

gracias voy a probar con lo que me dices y te cuento

saludos

muchas gracias alyana le hice una limpieza interna, limpie la memoria y lambie de ranura. y volvio a funcionar .

todo bien en cuanto a eso, pero resulta que cuando lo encendi y abrio windows notenia antivirus por lo que le puse el eset smart security y me detecto unos cuantos, los elimine pero hay un virus que no vuelve y reaparece, no recuerdo el nombre del virus pero este bloquea cualquier pagina que tenga qeu ver con antivirus, y no deja que se actualice el malware bytes.

me he decidido por formatear pero si hay otra solucion estare muy agradecido




Saludos[/QUOTE]

Hola


Pues ahí ya tendría que avisar a algun compañero Warrior para que te ayude a limpiar correctamente el SO aunque como sabes el formateo y reinstalación también puede ser la solución pero si quieres intentarle la limpieza te dejo en manos de los compañeros





Saludos y suerte

Permiso.

• - Descarga ComboFix.exe
  
  • Dada tu infecciones, debes de cambiar el nombre antes de guardarlo en tu escritorio por Combo-Fix

--------------------------------------------------------------------

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Saludos

otra cosa no me reconoce el teclado usb

estoy utilizando un live cd de kunbuntu y el teclado funciona bien , el programa si lo ejecute en el windows.


este es el reporte del combo fix :


ComboFix 09-05-22.05 - Administrador 22/05/2009 0:14.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.506.3082.18.958.559 [GMT -5:00]
Running from: c:\documents and settings\Administrador\Escritorio\Combo-Fix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\MFC42ESN.DLL
c:\windows\system32\OgaCheckControl.dll
D:\desktop.ini

.
((((((((((((((((((((((((( Files Created from 2009-04-22 to 2009-05-22 )))))))))))))))))))))))))))))))
.

2009-05-21 02:21 . 2009-05-21 02:21 -------- d-----w c:\documents and settings\Invitado\Datos de programa\ESET
2009-05-20 18:59 . 2009-05-20 18:59 23489 ----a-w c:\windows\system32\epfwdata.bin
2009-05-20 16:46 . 2009-05-20 16:46 -------- d-----w c:\archivos de programa\Sophos
2009-05-20 16:43 . 2009-05-20 14:54 -------- d---a-w c:\documents and settings\All Users\Datos de programa\TEMP
2009-05-20 16:43 . 2007-12-10 19:53 29576 ----a-w c:\windows\system32\drivers\kcom.sys
2009-05-20 16:43 . 2007-12-10 19:53 81288 ----a-w c:\windows\system32\drivers\iksyssec.sys
2009-05-20 16:43 . 2007-12-10 19:53 66952 ----a-w c:\windows\system32\drivers\iksysflt.sys
2009-05-20 16:43 . 2007-12-10 19:53 41864 ----a-w c:\windows\system32\drivers\ikfilesec.sys
2009-05-20 16:42 . 2009-05-20 16:43 -------- d-----w c:\archivos de programa\Spyware Doctor
2009-05-20 16:42 . 2009-05-20 16:42 -------- d-----w c:\documents and settings\Administrador\Datos de programa\PC Tools
2009-05-20 16:25 . 2009-05-20 17:40 -------- d-----w c:\documents and settings\Administrador\Datos de programa\TeamViewer
2009-05-20 16:02 . 2009-05-20 16:02 -------- d-----w c:\documents and settings\Administrador\temp
2009-05-20 14:55 . 2009-05-20 14:55 -------- d-----w c:\archivos de programa\Lavasoft
2009-05-20 14:55 . 2009-05-20 15:12 -------- d-----w c:\documents and settings\All Users\Datos de programa\Lavasoft
2009-05-20 14:55 . 2009-05-20 14:55 -------- d-----w c:\archivos de programa\Archivos comunes\Wise Installation Wizard
2009-05-20 14:54 . 2009-05-20 19:55 337197168 ----a-w c:\documents and settings\Administrador\Datos de programa\ijjigame\U_SFInstaller.exe
2009-05-20 14:54 . 2009-05-20 15:27 -------- d--h--w c:\documents and settings\Administrador\Datos de programa\ijjigame
2009-05-20 14:54 . 2009-05-20 14:54 -------- d-----w C:\ijji
2009-05-18 06:41 . 2009-05-18 06:41 604416 ----a-w c:\windows\system32\TUProgSt.exe
2009-05-18 06:41 . 2009-05-18 06:41 -------- d-----w C:\MSNCleaner
2009-05-18 06:33 . 2009-05-18 06:33 -------- d-----w c:\windows\system32\xircom
2009-05-18 06:33 . 2009-05-18 06:33 -------- d-----w c:\windows\system32\oobe
2009-05-18 06:33 . 2009-05-18 06:33 -------- d-----w c:\windows\srchasst
2009-05-18 06:33 . 2009-05-18 06:33 -------- d-----w c:\windows\msagent
2009-05-18 06:33 . 2009-05-18 06:33 -------- d-----w c:\archivos de programa\microsoft frontpage

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-05-20 16:44 . 2008-04-14 10:00 84132 ----a-w c:\windows\system32\perfc00A.dat
2009-05-20 16:44 . 2008-04-14 10:00 489060 ----a-w c:\windows\system32\perfh00A.dat
2009-05-20 15:21 . 2009-01-25 03:11 -------- d--h--w c:\archivos de programa\InstallShield Installation Information
2009-05-18 06:42 . 2006-01-28 06:20 -------- d-----w c:\archivos de programa\TuneUp Utilities 2009
2009-04-19 03:29 . 2009-04-19 03:29 -------- d-----w c:\documents and settings\All Users\Datos de programa\FLEXnet
2009-04-19 02:59 . 2009-01-25 03:08 -------- d-----w c:\archivos de programa\Archivos comunes\Adobe
2009-04-19 02:49 . 2009-04-19 02:49 -------- d-----w c:\archivos de programa\Archivos comunes\Macrovision Shared
2009-04-06 20:32 . 2006-01-28 06:15 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 20:32 . 2006-01-28 06:15 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-11 23:20 . 2009-03-15 00:49 208384 ----a-w c:\windows\system32\uc_rohan_launching.dll
2009-03-01 00:01 . 2009-01-31 03:02 28672 ----a-w c:\documents and settings\Administrador\Datos de programa\IDM\NP_IDM5.dll
2009-03-01 00:01 . 2009-01-31 03:02 28672 ----a-w c:\documents and settings\Administrador\Datos de programa\IDM\NP_IDM4.dll
2009-03-01 00:01 . 2009-01-31 03:02 28672 ----a-w c:\documents and settings\Administrador\Datos de programa\IDM\NP_IDM3.dll
2009-03-01 00:01 . 2009-01-31 03:02 28672 ----a-w c:\documents and settings\Administrador\Datos de programa\IDM\NP_IDM2.dll
2009-03-01 00:01 . 2009-01-31 03:02 28672 ----a-w c:\documents and settings\Administrador\Datos de programa\IDM\NP_IDM1.dll
2009-02-21 21:48 . 2009-02-21 21:48 487979 ----a-w c:\windows\system32\imagens1234.exe
2009-03-11 23:20 . 2009-03-11 23:20 208384 ----a-w c:\archivos de programa\mozilla firefox\plugins\uc_rohan_launching.dll
2008-04-14 10:00 . 2008-04-14 10:00 156220 --sha-r c:\windows\system32\tayed.dll
.

------- Sigcheck -------

[-] 2008-04-14 10:00 525312 000B8A96FFBD468B5C6C67D56C260DED c:\windows\system32\user32.dll

[-] 2008-06-02 23:48 912896 762E7FC313B11AF7E257D3D797E65D68 c:\windows\system32\wininet.dll

[-] 2008-06-02 23:57 361344 030DC4D48CC2B894FEE2F390D8E66AD5 c:\windows\system32\drivers\tcpip.sys

[-] 2008-04-14 10:00 2181632 59EE34F14E7FAB277F53E82A27A6BD6A c:\windows\system32\ntkrnlpa.exe

[-] 2008-04-14 10:00 2302976 0F6022219F514D817F21F26B0E7B1793 c:\windows\system32\ntoskrnl.exe

[-] 2008-04-14 10:00 1171456 7A0576C92E2D125C5E567FC0B1961B5A c:\windows\explorer.exe

[-] 2008-06-02 23:53 1572352 4D545128A6AB6408318063FCEF428079 c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"VisualTaskTips"="c:\archivos de programa\Illusion\Software\VisualTaskTips\VisualTa skTips.exe" [2008-03-09 61440]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ViOrb"="c:\archivos de programa\Illusion\Software\ViOrb\ViOrb.exe" [2008-05-14 167936]
"swg"="c:\archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2009-01-27 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"egui"="c:\archivos de programa\ESET\ESET Smart Security\egui.exe" [2008-07-01 1447168]
"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" [2009-01-05 413696]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-06-02 16859136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2008-06-02 123904]

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):49,53,53,4f,2d,6c,6f,67,6f,6e,2e,6 5,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run-]
"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" -atboottime
"iTunesHelper"="c:\archivos de programa\iTunes\iTunesHelper.exe"
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"c:\\Archivos de programa\\iTunes\\iTunes.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"6884:TCP"= 6884:TCP:fjduomi

R2 ekrn;Eset Service;c:\archivos de programa\ESET\ESET Smart Security\ekrn.exe [01/07/2008 9:02 468224]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [18/05/2009 1:41 604416]
S2 ainhojr;Update Center;c:\windows\system32\svchost.exe -k netsvcs [14/04/2008 5:00 14336]
S2 EFix4;Nod32 AV;c:\windows\regedit.exe [14/04/2008 5:00 274944]
S2 ufjgxy;System Config;c:\windows\system32\svchost.exe -k netsvcs [14/04/2008 5:00 14336]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\windows\Temp\RarSFX0\kerneld.wnt --> c:\windows\Temp\RarSFX0\kerneld.wnt [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\B45.tm p --> c:\windows\system32\B45.tmp [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 sdAuxService;PC Tools Auxiliary Service;c:\archivos de programa\Spyware Doctor\pctsAuxs.exe [20/05/2009 11:43 747912]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ainhojr
ufjgxy

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D58F39FF-953E-4F45-898F-59F243B9A523}]
"c:\archivos de programa\Windows Sidebar\sidebar.exe /RegServer"
.
Contents of the 'Scheduled Tasks' folder

2009-04-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 17:34]

2009-05-22 c:\windows\Tasks\Mantenimiento con 1 clic.job
- c:\archivos de programa\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 13:46]
.
- - - - ORPHANS REMOVED - - - -

SafeBoot-procexp90.Sys


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com.co/
uInternet Settings,ProxyOverride = *.local
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\2s3jy4k1.default \
FF - prefs.js: browser.startup.homepage - www.google.com
FF - plugin: c:\archivos de programa\Download Manager\npfpdlm.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npijjiCHPlugin.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npijjiFFPlugin1.dll

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-22 00:18
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\E verestDriver]
"ImagePath"="\??\c:\windows\Temp\RarSFX0\kerneld.w nt"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\M EMSWEEP2]
"ImagePath"="\??\c:\windows\system32\B45.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\n pggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\a inhojr]
"ServiceDll"="c:\windows\system32\tayed.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\u fjgxy]
"ServiceDll"="c:\windows\system32\tayed.dll"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED6077 9-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):cd,4a,65,5f,eb,7c,d2,3f,66,6c,68,6 c,d6,85,92,42,b1,6b,5f,a0,23,
bc,b4,a0,75,df,e8,12,fa,2f,f5,2a,2c,98,03,26,13,4e ,6d,3e,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{e94db59 5-4039-4d6a-a475-7ef1e89d69eb}]
@Denied: (Full) (Everyone)
"Model"=dword:0000003b
"Therad"=dword:0000001e
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5 ,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,85,b1,12,f9,90,dd,23,a1,49,8c,bf,1a,9d,fe ,41,71,cb,3f,46,a4,7c,ab,\
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1108)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1176)
c:\windows\system32\setupapi.dll
.
Completion time: 2009-05-22 0:19
ComboFix-quarantined-files.txt 2009-05-22 05:19

Pre-Run: 967.675.904 bytes libres
Post-Run: 2.483.838.976 bytes libres

206


saludos!

[

Saludos[/QUOTE]

en la lista que puse veo el tayed.dll el nod me lo detecta como virus y lo elimina pero este aparece de nuevo

lo intento formatear pero no me deja el teclado solo funciona hasta una partecuando voy a seleccionar la unidad a formatear deja de funcionar, lo mas raro es que funciona con un live cd de kunbuntu, pero al intentar instalar este cuando va por el 70% la pantalla se pone negra

ya no se que hace con este pc

Si no formateaste aún, haz esto:


1.-Abrir el Notepad (Bloc de Notas)

• Ir a INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

2.-Ahora copia y pega estos archivos dentro del Notepad

3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

• Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente

Me dejas el reporte de Conmbofix, junto con uno de Malwarebyte's Antimalware y un LOG de Hijackthis

Saludos