Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Seguí las instrucciones del hjackthis y me sale esto

Logfile of HijackThis v1.99.1
Scan saved at 5:18:57, on 09/02/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT2\System32\smss.exe
C:\WINNT2\SYSTEM32\winlogon.exe
C:\WINNT2\system32\services.exe
C:\WINNT2\system32\lsass.exe
C:\WINNT2\system32\svchost.exe
C:\WINNT2\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINNT2\System32\svchost.exe
C:\WINNT2\system32\MSTask.exe
C:\WINNT2\System32\WBEM\WinMgmt.exe
C:\WINNT2\Explorer.EXE
C:\WINNT2\system32\pctspk.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINNT2\vsnpstd2.exe
C:\WINNT2\System32\spool\DRIVERS\W32X86\3\E_S10IC2 .EXE
C:\WINNT2\system32\stisvc.exe
C:\WINNT2\system32\microprocs.exe
C:\WINNT2\System32\svchost.exe
C:\WINNT2\system32\svchost.exe
C:\WINNT2\System32\MsiExec.exe
C:\Archivos de programa\Opera\Opera.exe
C:\WINNT2\system32\NOTEPAD.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gogle.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT2\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT2\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINNT2\vsnpstd2.exe
O4 - HKLM\..\Run: [systems usb driver] scvhost.exe
O4 - HKLM\..\Run: [RundII32] C:\WINNT2\system\RundII32.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINNT2\System32\spool\DRIVERS\W32X86\3\E_S10IC2 .EXE /P19 "EPSON Stylus CX3200" /O6 "USB002" /M "Stylus CX3200"
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [[Win Xp] Personal Firewall] WinSyswal32.exe
O4 - HKLM\..\Run: [Dx Serv System] dx2s.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Xsp2 Service Guard] xpsp2guard.exe
O4 - HKLM\..\Run: [Microsoft Procs Manegar] microprocs.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\RunServices: [systems usb driver] scvhost.exe
O4 - HKLM\..\RunServices: [[Win Xp] Personal Firewall] WinSyswal32.exe
O4 - HKLM\..\RunServices: [Dx Serv System] dx2s.exe
O4 - HKLM\..\RunServices: [Xsp2 Service Guard] xpsp2guard.exe
O4 - HKLM\..\RunServices: [Microsoft Procs Manegar] microprocs.exe
O4 - HKCU\..\Run: [Xsp2 Service Guard] xpsp2guard.exe
O4 - HKCU\..\Run: [Microsoft Procs Manegar] microprocs.exe
O4 - HKCU\..\RunServices: [Xsp2 Service Guard] xpsp2guard.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT2\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT2\web\related.htm
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://idse.imss.gob.mx
O16 - DPF: {4B5DC085-DDEE-4B81-8F51-D63E31053F96} (Sglib_KeyGen Control) - http://idse.imss.gob.mx/certificacion/SeguriTools/GenKey.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1038416298541
O20 - Winlogon Notify: Dynamic Directory - C:\WINNT2\system32\dn4001hme.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT2\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT2\MSmedia.exe
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINNT2\System32\netddesrv.exe (file missing)
O23 - Service: svchost.exe - Unknown owner - C:\WINNT2\svchost.exe



muchas gracias a cualquier ayuda le he pasado el panda online y tengo el avg antivirus pero no sirven, cada que prendo la maquina me sale el chucho ese que tengo el troyano rdriv.sys no se puede ni eliminar ni mandar a cuarentena porque siempre sale, tenqo que desactivar el antivirus para que deje de salir, saludos

Hola Cadete23, no te olvides de pasar por WindowsUpdate periódicamente para tener actualizado el sistema, luego sigue estos pasos:

1.- Descarga la herramienta Rd-Kill.zip y descomprímela en el escritorio de Windows, luewgo descarga el Spy Sweeper y actualízalo pero no los ejecutes aun.

2.- Apaga el "Restaurar Sistema"

3.- Activa la opción Ver Archivos Ocultos

4.- Reinicia en Modo a Prueba de Fallos

5.-
A) Ir a INICIO > EJECUTAR > y ahi pones Services.msc y le das OK
B) En el listado que aparece de los servicios de Win tenes que buscar MicroSoft Media Tools
C) Click en "MicroSoft Media Tools " y en el panel de la iz presiona "STOP"
D) Click con el botón derecho del mouse, te vas a "Propiedades" y le pones Disabled
E) Ejecuta HijackThis y vas a Config -> Misc Tools -> Delete an NT service.
F) En la pantalla de eliminar pones: MicroSoft Media Tools y OK
G) vas a Inicio > Ejecutar > y ahi pones sc delete MicroSoft Media Tools y OK.

6.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

O4 - HKLM\..\Run: [systems usb driver] scvhost.exe

O4 - HKLM\..\Run: [RundII32] C:\WINNT2\system\RundII32.exe

O4 - HKLM\..\Run: [[Win Xp] Personal Firewall] WinSyswal32.exe
O4 - HKLM\..\Run: [Dx Serv System] dx2s.exe

O4 - HKLM\..\Run: [Xsp2 Service Guard] xpsp2guard.exe
O4 - HKLM\..\Run: [Microsoft Procs Manegar] microprocs.exe

O4 - HKLM\..\RunServices: [systems usb driver] scvhost.exe
O4 - HKLM\..\RunServices: [[Win Xp] Personal Firewall] WinSyswal32.exe
O4 - HKLM\..\RunServices: [Dx Serv System] dx2s.exe
O4 - HKLM\..\RunServices: [Xsp2 Service Guard] xpsp2guard.exe
O4 - HKLM\..\RunServices: [Microsoft Procs Manegar] microprocs.exe
O4 - HKCU\..\Run: [Xsp2 Service Guard] xpsp2guard.exe
O4 - HKCU\..\Run: [Microsoft Procs Manegar] microprocs.exe
O4 - HKCU\..\RunServices: [Xsp2 Service Guard] xpsp2guard.exe

O20 - Winlogon Notify: Dynamic Directory - C:\WINNT2\system32\dn4001hme.dll (file missing)

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT2\MSmedia.exe

O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINNT2\System32\netddesrv.exe (file missing)

7.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

scvhost.exe<--NO elimines el que se encuentra dentro de la carpeta system32

C:\WINNT2\system\RundII32.exe<--CUIDADO con confundirte con RUNDLL32

WinSyswal32.exe
dx2s.exe
xpsp2guard.exe
C:\WINNT2\system32\microprocs.exe
C:\WINNT2\system32\dn4001hme.dll
C:\WINNT2\MSmedia.exe
C:\WINNT2\System32\netddesrv.exe

8.- Con todos los programas cerrados ejecutar el archivo Rd-Kill.exe, este va a abrir una ventana verde con la informacion del programa donde tienes que apretar cualquier tecla para que este continué y elimine el parásito. Luego realiza un escaneo con Spy Sweeper.

9.- Pasa el Disk Cleaner para limpiar cookies y temporales

10.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

11.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

12.- Reinicia la maquina y pega otro log de Hijackthis aqui mismo, luego nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Saludos