Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, mi Pc estba lenta asi que la mande a revisar con un tecnico, y me la regreso menos lenta, pero con el internet se puso como estaba antes,recontralenta!! decidi cambiarle el antivirus y le coloque el nod 32, pero peor, al arrancar demoraba una eternidad al igual con el messenger. tambien para abrir el explorador salia la linterna de busqueda y demoraba en visualizar los archivos, estaba lenta por todas partes , asi que le quite el nod32, y mejoro algo de lo que estaba!!!, pero estoy desprotegido, les dejo mi log y me ayudan con esto gracias!!.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:34:27 a.m., on 03/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\PC03\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\PC03\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\PC03\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\PC03\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

--
End of file - 4223 bytes

Hola, te doy la bienvenida al Foro de InfoSpyware, el log está limpio, para descartar infecciones sigue estos pasos:

Descarga, actualiza y ejecuta el programa:

• Malwarebyte’s AntiMalwares

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generará un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Saludos

Hola Gpastor, gracias por responder mi consulta, hice todo lo q dice tu respuesta y aqui te envio el:

Malwarebytes' Anti-Malware 1.37
Versión de la Base de Datos: 2182
Windows 5.1.2600 Service Pack 2

05/06/2009 11:45:58 a.m.
mbam-log-2009-06-05 (11-45-58).txt

Tipo de examen : Examen Completo (C:\|D:\|E:\|)
Objetos examinados: 103527
Tiempo transcurrido: 34 minute(s), 0 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)





y tambien el de combo fix:

ComboFix 09-06-04.A1 - PC03 05/06/2009 12:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.95.22 [GMT -5:00]
Running from: c:\documents and settings\PC03\Escritorio\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2009-05-05 to 2009-06-05 )))))))))))))))))))))))))))))))
.

2009-06-05 06:10 . 2009-05-26 18:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-05 06:10 . 2009-06-05 06:10 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-06-05 06:10 . 2009-05-26 18:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-05 06:10 . 2009-06-05 06:10 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2009-06-05 05:45 . 2009-06-05 05:45 -------- d-----w- c:\documents and settings\PC03\Datos de programa\Malwarebytes
2009-06-03 05:33 . 2009-06-03 05:33 -------- d-----w- c:\archivos de programa\Trend Micro
2009-06-02 23:22 . 2009-06-05 05:57 -------- d-----w- c:\archivos de programa\Spybot - Search & Destroy
2009-06-02 23:22 . 2009-06-05 05:52 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2009-05-29 20:47 . 2008-10-16 19:06 208744 ----a-w- c:\windows\system32\muweb.dll
2009-05-29 20:47 . 2008-10-16 19:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-05-28 20:12 . 2009-06-05 15:48 -------- d-----w- c:\documents and settings\PC03\Tracing
2009-05-28 19:42 . 2006-11-29 18:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll
2009-05-28 19:42 . 2009-05-28 19:42 -------- d-----w- c:\archivos de programa\Microsoft SQL Server Compact Edition
2009-05-28 19:36 . 2009-05-28 19:36 -------- d-----w- c:\archivos de programa\Microsoft
2009-05-28 19:35 . 2009-05-28 19:35 -------- d-----w- c:\archivos de programa\Windows Live SkyDrive
2009-05-28 19:33 . 2009-05-28 19:44 -------- d-----w- c:\archivos de programa\Windows Live
2009-05-28 18:24 . 2009-05-28 18:24 -------- d-----w- c:\archivos de programa\Archivos comunes\Windows Live
2009-05-28 16:23 . 2009-06-02 21:46 -------- d-----w- c:\windows\system32\CatRoot_bak
2009-05-28 15:29 . 2009-05-28 15:29 -------- d-----w- c:\documents and settings\All Users\Datos de programa\ESET
2009-05-28 15:07 . 2006-10-16 21:10 23856 ----a-w- c:\windows\system32\spupdsvc.exe
2009-05-28 15:07 . 2009-06-02 21:53 -------- d--h--w- c:\windows\$hf_mig$
2009-05-28 14:40 . 2009-05-28 14:40 -------- d-----w- c:\archivos de programa\CCleaner
2009-05-27 14:33 . 2009-05-27 14:33 -------- d-----w- c:\documents and settings\PC03\fontconfig
2009-05-27 06:51 . 2009-05-27 21:06 -------- d-----w- c:\documents and settings\PC03\.smplayer
2009-05-27 06:17 . 2009-05-27 06:17 -------- d-----w- c:\documents and settings\PC03\Datos de programa\DivX
2009-05-27 00:22 . 2009-05-27 21:01 -------- d-----w- c:\archivos de programa\Google
2009-05-27 00:16 . 2009-05-27 00:16 -------- d-s---w- c:\documents and settings\PC03\UserData
2009-05-26 20:53 . 2009-05-27 00:46 -------- d-----w- c:\documents and settings\PC03\Contacts
2009-05-26 20:48 . 2009-05-26 20:48 -------- d-----w- c:\documents and settings\PC03\Datos de programa\Pointstone
2009-05-26 20:41 . 2009-05-26 21:00 -------- d-----w- c:\archivos de programa\Pointstone
2009-05-26 20:41 . 2009-05-26 21:01 -------- d-----w- c:\archivos de programa\Archivos comunes\Pointstone

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-05-09 20:38 . 2009-05-03 01:03 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-03 01:56 . 2009-05-03 01:56 -------- d-----w- c:\archivos de programa\Archivos comunes\Adobe
2009-05-03 01:51 . 2009-05-03 01:50 -------- d-----w- c:\archivos de programa\Java
2009-05-03 01:50 . 2009-05-03 01:50 -------- d-----w- c:\archivos de programa\Archivos comunes\Java
2009-05-03 01:36 . 2009-05-03 01:36 -------- d-----w- c:\archivos de programa\VIA Technologies, Inc
2009-05-03 01:33 . 2009-05-03 01:33 -------- d-----w- c:\archivos de programa\S3Inc
2009-05-03 01:29 . 2009-05-03 01:29 -------- d-----w- c:\archivos de programa\Archivos comunes\InstallShield
2009-05-03 01:23 . 2009-05-03 01:23 -------- d-----w- c:\archivos de programa\Microsoft.NET
2009-05-03 01:22 . 2009-05-03 01:22 -------- d-----w- c:\archivos de programa\Microsoft Works
2009-05-03 01:16 . 2001-08-24 10:00 51286 ----a-w- c:\windows\system32\perfc00A.dat
2009-05-03 01:16 . 2001-08-24 10:00 362564 ----a-w- c:\windows\system32\perfh00A.dat
2009-05-03 01:06 . 2009-05-03 01:06 -------- d-----w- c:\archivos de programa\microsoft frontpage
2009-05-03 01:01 . 2009-05-03 01:01 -------- d-----w- c:\archivos de programa\Servicios en línea
2009-05-03 00:58 . 2009-05-03 00:58 21900 ----a-w- c:\windows\system32\emptyregdb.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"MSMSGS"="c:\archivos de programa\Messenger\msmsgs.exe" [2004-08-19 1667584]
"msnmsgr"="c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Adobe Reader Speed Launch.lnk]
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^WinZip Quick Pick.lnk]
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"MDM"=2 (0x2)
"gusvc"=3 (0x3)
"ekrn"=2 (0x2)
"EhttpSrv"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\Windows Live\\Sync\\WindowsLiveSync.exe"=

S3 tgiul50;tgiul50;c:\windows\system32\DRIVERS\tgiuln t5.sys [2001-08-17 138528]


--- Other Services/Drivers In Memory ---

*Deregistered* - ALG
*Deregistered* - AudioSrv
*Deregistered* - BITS
*Deregistered* - Browser
*Deregistered* - CryptSvc
*Deregistered* - DcomLaunch
*Deregistered* - Dhcp
*Deregistered* - dmserver
*Deregistered* - Dnscache
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - FastUserSwitchingCompatibility
*Deregistered* - helpsvc
*Deregistered* - ImapiService
*Deregistered* - IpNat
*Deregistered* - IPSec
*Deregistered* - KSecDD
*Deregistered* - lanmanserver
*Deregistered* - lanmanworkstation
*Deregistered* - LmHosts
*Deregistered* - mnmdd
*Deregistered* - Mouclass
*Deregistered* - MountMgr
*Deregistered* - MRxDAV
*Deregistered* - MRxSmb
*Deregistered* - Msfs
*Deregistered* - mssmbios
*Deregistered* - Mup
*Deregistered* - NDIS
*Deregistered* - NdisTapi
*Deregistered* - Ndisuio
*Deregistered* - NdisWan
*Deregistered* - NDProxy
*Deregistered* - NetBIOS
*Deregistered* - NetBT
*Deregistered* - Netman
*Deregistered* - Nla
*Deregistered* - Npfs
*Deregistered* - Ntfs
*Deregistered* - Null
*Deregistered* - PartMgr
*Deregistered* - ParVdm
*Deregistered* - PolicyAgent
*Deregistered* - PptpMiniport
*Deregistered* - ProtectedStorage
*Deregistered* - PSched
*Deregistered* - RasAcd
*Deregistered* - Rasl2tp
*Deregistered* - RasMan
*Deregistered* - RasPppoe
*Deregistered* - Raspti
*Deregistered* - Rdbss
*Deregistered* - RDPCDD
*Deregistered* - rdpdr
*Deregistered* - RemoteRegistry
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - Schedule
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Spooler
*Deregistered* - sr
*Deregistered* - srservice
*Deregistered* - Srv
*Deregistered* - SSDPSRV
*Deregistered* - swenum
*Deregistered* - TapiSrv
*Deregistered* - Tcpip
*Deregistered* - TermDD
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - Update
*Deregistered* - VgaSave
*Deregistered* - viaagp
*Deregistered* - VIAPFD
*Deregistered* - VolSnap
*Deregistered* - W32Time
*Deregistered* - Wanarp
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - wscsvc
*Deregistered* - wuauserv
*Deregistered* - WZCSVC
.
- - - - ORPHANS REMOVED - - - -

SafeBoot-procexp90.Sys


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com.pe/
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-05 12:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(1124)
c:\windows\system32\msi.dll
.
Completion time: 2009-06-05 12:19
ComboFix-quarantined-files.txt 2009-06-05 17:19

Pre-Run: 1,700,597,760 bytes libres
Post-Run: 1,703,587,840 bytes libres

198 --- E O F --- 2009-05-28 22:36





Como te dije en el primer mensaje, estoy sin proteccion, le quite el nod32, porq la hacia lenta , que antivirus me recomiendas (uno ligero) para colocarle, pero que no me deje la maq lenta sobre todo al arranque.
Gracias y saludos
Lacrillas

El reporte está limpio sólo te quedaría quitar CF de la siguiente manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  
  • 

Esto realizara las siguientes tareas:

• Se borraran:
  • ComboFix: sus archivos y carpetas.
  • VundoFix: copias de seguridad (si está presente)
  • La carpeta C:\Deckard (si está presente)
  • La carpeta C: _OtMoveIt (si está presente)
• Restablece la configuración del reloj.
• Ocultar extensiones de archivo (si es necesario.)
• Oculta los archivos que estaban ocultos
• Reactiva el "Restaurar Sistema"

Todo depende de las características de tu equipo, un antivirus gratuito y ligero es el Avast que puedes descargarlo desde nuestra página principal Infospyware

Seguimos pendientes.

Gracias Por todo GPastor. la Pc mejoro mucho con los pasos que me recomendaste. y disculpa la demora en responder.
Gracias por todo.
Uds. son personas a las cuales se les puede confiar algo tan importante como una compu.