Hola

espero puedan ayudarm con mi pc, cuando arranca aparecen errores en update.ex, sachotsp.exe, sachostw.exe y en Winlogon.exe

Ademas no pudo entrar al msn, me aparece publicidad no deseada a cada rato, se instala un programa llamado Adware Sheriff, y en la barra de inicio me salen alertas de spyware...

Les adjunto mi log, espero puedan ayudarme

Gracias

Carlos Chavez

Logfile of HijackThis v1.99.1
Scan saved at 14:29:02, on 6/2/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Persystems\Perav\PERVAC.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\inet20041\services.exe
C:\WINDOWS\system32\S3hotkey.exe
C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 1.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\sachostx.exe
C:\WINDOWS\sachostx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe
C:\WINDOWS\system32\dllcache\IExplore.exe
C:\Archivos de programa\Persystems\Perav\PAVSS.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\system32\sachostc.exe
C:\WINDOWS\system32\sachosts.exe
C:\WINDOWS\system32\sachosts.exe
C:\ARCHIV~1\PERSYS~1\Perav\PERTSK.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onlinesecurityguide.net/?adv=182
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F3 - REG:win.ini: run=C:\WINDOWS\inet20041\services.exe
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 1.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42"
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20041\services.exe
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [gimmygames] C:\windows\gimmygames.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\system32\symsvcsa.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20041\services.exe
O4 - Startup: asheriff.lnk = C:\Archivos de programa\AdwareSheriff\asheriff.exe
O4 - Global Startup: Actualización de PER Antivirus.lnk = C:\Archivos de programa\Persystems\Perav\PERUPD.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139148143209
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NetCache - C:\WINDOWS\system32\jtj2071oe.dll
O21 - SSODL: SysTray.Exiv - {2963ECFC-4E5C-2f3b-B334-D67434FC72E0} - C:\WINDOWS\system32\ldpgeabj.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE
O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Archivos de programa\Persystems\Perav\PERVAC.EXE

Hola Carlos583, te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga estas herramientas pero no las ejecutes aun:

• DelPSGuard
• Spy Sweeper 4.5

Paso 3- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 4- Con todos los programas cerrados ejecuta HijackThis y dale a estas entradas:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onlinesecurityguide.net/?adv=182
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

F3 - REG:win.ini: run=C:\WINDOWS\inet20041\services.exe

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20041\services.exe
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [HostSrv] C:\WINDOWS\sachostx.exe
O4 - HKLM\..\Run: [gimmygames] C:\windows\gimmygames.exe

O4 - HKCU\..\Run: [aupd] C:\WINDOWS\system32\symsvcsa.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20041\services.exe
O4 - Startup: asheriff.lnk = C:\Archivos de programa\AdwareSheriff\asheriff.exe

O20 - Winlogon Notify: NetCache - C:\WINDOWS\system32\jtj2071oe.dll

O21 - SSODL: SysTray.Exiv - {2963ECFC-4E5C-2f3b-B334-D67434FC72E0} - C:\WINDOWS\system32\ldpgeabj.dll



Paso 5- Sin reiniciar con el programa "KillBox" elimina estos archivos:


C:\WINDOWS\system32\jtj2071oe.dll
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\sachostx.exe


Paso 6- Ejecuta las herramientas de a una:

• DelPSGuard.exe
• Spy Sweeper 4.5

Paso 7- Reinicia y hacele un escaneo online con "Panda ActiveScan Online"

Paso 8- Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos contas los resultados.

Salu2

Hola

Gracias por la ayuda, segui todos los pasos que me dijiste y al parecer la maquina esta bien pero cuando pase el panda active scan Online me salio un reporte con virus que no habia eliminado... Espero que puedan ayudarme para saber si la maquina ya esta libre de virus y si me pueden mandar informacion de como evitar futuras infecciones...

Les envio el reporte del Panda Active Scan Online y ademas el LOG actual...

Gracias

Carlos Chávez


REPORTE DE PANDA ACTIVE SCAN ONLINE

Incidencia Estado Elemento

Adware:adware/adsmart No desinfectado C:\WINDOWS\SYSTEM32\maxd64.exe
Adware:adware program No desinfectado C:\DOCUMENTS AND SETTINGS\ALL USERS\DOCUMENTOS\SETTINGS\ur32art.dll
Adware:adware/dollarrevenue No desinfectado C:\WINDOWS\drsmartload2.dat
Adware:adware/cws.searchmeup No desinfectado C:\WINDOWS\ms1.exe
Adware:adware/look2me No desinfectado Registro de Windows
Virus:Exploit/ByteVerify Desinfectado C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \classload.jar-6f68c2ae-6f09364b.zip[GetAccess.class]
Virus:Exploit/ByteVerify Desinfectado C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \classload.jar-6f68c2ae-6f09364b.zip[InsecureClassLoader.class]
Virus:Exploit/ByteVerify Desinfectado C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \classload.jar-6f68c2ae-6f09364b.zip[Dummy.class]
Virus:Exploit/ByteVerify Desinfectado C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \classload.jar-6f68c2ae-6f09364b.zip[Installer.class]
Adware:Adware/CWS.Searchmeup No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \jrl.jar-5db60e94-2a124863.zip[GetAccess.class]
Adware:Adware/CWS.Searchmeup No desinfectado C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \jrl.jar-5db60e94-2a124863.zip[Installer.class]
Virus:Exploit/ByteVerify Desinfectado C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \jrl.jar-5db60e94-2a124863.zip[NewSecurityClassLoader.class]
Virus:Exploit/ByteVerify Desinfectado C:\Documents and Settings\Administrador\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar \jrl.jar-5db60e94-2a124863.zip[NewURLClassLoader.class]
Virus:Trj/Downloader.HMY Desinfectado C:\Documents and Settings\Administrador\order_yxwv.exe
Virus:Trj/Downloader.HNX Desinfectado C:\WINDOWS\gimmygames.exe
Adware:Adware/SpySheriff No desinfectado C:\WINDOWS\osaupd.exe
Virus:Bck/Agent.BEM Desinfectado C:\WINDOWS\system\svwhost.dll
Dialer:Dialer.FGG No desinfectado C:\WINDOWS\system32\maxd64.exe
Virus:Bck/Galapoper.KB Desinfectado C:\WINDOWS\system32\symsvcsa.exe
Virus:Trj/Delf.VP Desinfectado C:\WINDOWS\system32\vxgamet3.exe
Virus:Bck/Agent.BEM Desinfectado C:\WINDOWS\system32\x_ice.exe
Spyware:Cookie/YieldManager No desinfectado C:\WINDOWS\Temp\Cookies\administrador@ad.yieldmana ger[2].txt
Spyware:Cookie/Hbmediapro No desinfectado C:\WINDOWS\Temp\Cookies\administrador@adopt.hbmedi apro[2].txt
Spyware:Cookie/Azjmp No desinfectado C:\WINDOWS\Temp\Cookies\administrador@azjmp[2].txt
Spyware:Cookie/Belnk No desinfectado C:\WINDOWS\Temp\Cookies\administrador@belnk[1].txt
Spyware:Cookie/Belnk No desinfectado C:\WINDOWS\Temp\Cookies\administrador@dist.belnk[2].txt
Adware:Adware/SpySheriff No desinfectado C:\WINDOWS\wupdmgr.exe


Logfile of HijackThis v1.99.1
Scan saved at 0:14:25, on 7/2/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\S3hotkey.exe
C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 1.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Persystems\Perav\PERVAC.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe
C:\ARCHIV~1\PERSYS~1\Perav\pertsk.exe
C:\Archivos de programa\Persystems\Perav\PAVSS.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\HJT\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 1.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42"
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Actualización de PER Antivirus.lnk = C:\Archivos de programa\Persystems\Perav\PERUPD.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139148143209
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE
O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Archivos de programa\Persystems\Perav\PERVAC.EXE
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

Hola,

Del log solo dale FIX a estas entradas que son basura:

O20 - Winlogon Notify: Controls Folder - C:\WINDOWS\
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\

En cuanto a lo que encuentra Panda podes borrar todo lo que este no puede en modo a prueba de fallos y usando KillBox.

C:\WINDOWS\SYSTEM32\maxd64.exe
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\ms1.exe
C:\WINDOWS\osaupd.exe
C:\WINDOWS\wupdmgr.exe

C:\DOCUMENTS AND SETTINGS\ALL USERS\DOCUMENTOS\SETTINGS\ur32art.dll

Reinicia y nos contas..

Salu2