 |
| |||||||
| Temas Solucionados Casos de HijackThis y Malwares resueltos. (Solo lectura) |
 |
| | Herramientas |
 | 
11/02/06, 09:13:30
|  |
| |||
 Hecho polvo con mensaje "Your computer is infected" (Solucionado) Buenos dias gente!! Os comento mi problema: Despues de 3 meses con nuevo ordenador mi novia ha conseguido reunir a lo peor de lo peor que podemos encontrar. Tiene el Spysheriff y siguiendo vuestros pasos lo elimina ok, pero al reiniciar vuelve a aparecer, a parte tiene el mensaje de Your computer is infected, y a parte cada 2 por 3 se le abren paginas de internet. Lo he intentado por partes y no funciona asi que supongo que tengo que hacerlo paso por paso. Os pego my reg mas abajo. Dispongo de casi todo: Hijackthis, delpsguard, ewido, adware 1.6, mcafee actualizado, etc.... A parte si hago un CTRL + alt + sup me indica que esta deshabilitado por un administrador... Si me podeis echar una mano os lo agradecere. Gracias por antemano por ayudarnos con estos MARRONES!!! muchos no se que hariamos sin estos foros! Logfile of HijackThis v1.99.1 Scan saved at 14  48, on 11/02/2006Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Archivos de programa\QuickTime\qttask.exe C:\Archivos de programa\Winamp\winampa.exe C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe C:\WINDOWS\System32\kernels64.exe C:\WINDOWS\System32\ctfmon.exe C:\winstall.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe C:\Archivos de programa\Norton AntiVirus\navapsvc.exe C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Archivos de programa\WinRAR\WinRAR.exe C:\DOCUME~1\Vanessa\CONFIG~1\Temp\Rar$EX00.750\Hij ackThis.exe C:\WINDOWS\System32\vxh8jkdq2.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Archivos de programa\TheSearchAccelerator\UCMTSAIE.dll (file missing) O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9 CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420" O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [MediaGateway] C:\Archivos de programa\MediaGateway\MediaGateway.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels64.exe O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd4.exe O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [order_Shell] C:\Documents and Settings\Vanessa\order_glsm.exe O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s O4 - HKCU\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe O4 - HKCU\..\Run: [wuor] C:\ARCHIV~1\ARCHIV~1\wuor\wuorm.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/Ms...cab?10,0,910,0 O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing) O21 - SSODL: prxsvc - {6542518B-7A75-4F08-A80D-34AAB88209A6} - prxsvc.dll (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\dmFuZXNzYQ\command.exe (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe O23 - Service: Network Monitor - Unknown owner - C:\Archivos de programa\Network Monitor\netmon.exe (file missing) O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing) O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe Última edición por Nesmodel fecha: 11/02/06 a las 09:17:40.      |
|
11/02/06, 14:58:04
| |
| ||||
| Re: Hecho polvo ... Hola te doy la bienvenida al foro No te olvides de pasar por WindowsUpdate periódicamente para tener actualizado el sistema. NUNCA ejecutes el Hijackthis desde una carpeta temporal ni desde el Winzip/Winrar, descarga nuevamente el instalador de Hijackthis instala el programa y luego ejecútalo desde Inicio-->Programas-->Hijackthis, luego sigue estos pasos: 1.- Descarga la herramienta DelPSGuard 2.3.7 y descomprímela en el escritorio de Windows pero no la ejecutes aún. 2.- Apaga el "Restaurar Sistema" 3.- Activa la opción Ver Archivos Ocultos 4.- Reinicia en Modo a Prueba de Fallos y desinstala desde el Panel de Control si los encuentras a TheSearchAccelerator y MediaGateway. 5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Archivos de programa\TheSearchAccelerator\UCMTSAIE.dll (file missing) O4 - HKLM\..\Run: [MediaGateway] C:\Archivos de programa\MediaGateway\MediaGateway.exe O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels64.exe O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKLM\..\Run: [winsysupd] C:\windows\winsysupd4.exe O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe O4 - HKCU\..\Run: [order_Shell] C:\Documents and Settings\Vanessa\order_glsm.exe O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s O4 - HKCU\..\Run: [WindowsUpdateNT] C:\WINDOWS\System\svwhost.exe O4 - HKCU\..\Run: [wuor] C:\ARCHIV~1\ARCHIV~1\wuor\wuorm.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O21 - SSODL: prxsvc - {6542518B-7A75-4F08-A80D-34AAB88209A6} - prxsvc.dll (file missing) O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\dmFuZXNzYQ\command.exe (file missing) 6.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar. c:\secure32.html C:\Archivos de programa\TheSearchAccelerator\<-- Elimina la carpeta y todo su contenido C:\Archivos de programa\MediaGateway\<-- Elimina la carpeta y todo su contenido C:\WINDOWS\System32\kernels64.exe C:\WINDOWS\System32\paytime.exe C:\windows\winsysupd4.exe c:\windows\myupdates.exe C:\Documents and Settings\Vanessa\order_glsm.exe C:\WINDOWS\System\svchost.exe C:\WINDOWS\System\svwhost.exe C:\ARCHIV~1\ARCHIV~1\wuor\<-- Elimina la carpeta y todo su contenido C:\winstall.exe prxsvc.dll C:\WINDOWS\dmFuZXNzYQ\<-- Elimina la carpeta y todo su contenido 7.- Ejecuta la herramienta DelPSGuard.exe y sigue las instrucciones del programa. 8.- Pasa el Disk Cleaner para limpiar cookies y temporales 9.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar. 10.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster 11.- Reinicia la maquina y realiza un escaneo con Ewido Online, luego pega otro log de Hijackthis y nos cuentas como te fue. De preferencia imprime las indicaciones para que se te haga mas facil seguirlas. Saludos  Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !! * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
« Tema Anterior
|
Próximo Tema »
| Herramientas | |
|
|
| 
Temas Similares | |
| Tema | Autor | Foro | Respuestas | Último mensaje |
| Me reporta spyware y el NORTON no lo limpia (Solucionado) | poppo_72 | Temas Solucionados | 9 | 18/06/08 17:15:15 |
| Problema con virus Trojan.Elitebar (Solucionado) | Tavo08 | Temas Solucionados | 25 | 23/03/06 21:53:09 |
| Ayuda con mi PC, Tengo Virus!! | Elazulyoro | Foro de Virus y Spywares | 1 | 04/03/06 14:01:30 |
| Trojan horse PSW.Banker.TGZ | Ryan_Alex | Foro de Virus y Spywares | 16 | 19/02/06 18:57:39 |
| Nescesito de sus sabios consejos | Miharu_Endoh | Foro de Virus y Spywares | 3 | 19/12/05 20:07:37 |
Todas las horas son GMT -4. La hora es 04:59:42.
