Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

despues de aver echo barios escaneos manuales con avg la vercion free, spybot, desintale spybot y sus componentes.
luego con superantyspyware, limpie con ccleaner luego escane online scan betdefender, ESET, F-secure en modo save.
elimine .exe sospechosos en system32, otros como arp.exe cual no se si se trata de un keylogger?
limpie de nuevo con ccleaner y logre tomar por fin algo de control.
aun la pc se siente pausada como si ledieramos pausa rapido a un video juego luego se detiene por segundos.
es notable cuando se olle musica o videos luego todo normal, por ultimo con

hijackthis

estos fueron los resultados;

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:37:22 a.m., on 05/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\NETGEAR\WN111\wn111.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\s wg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe
O4 - HKCU\..\Run: [RegistryMechanic] C:\Program Files\Registry Mechanic\RegMech.exe /H
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: NETGEAR WN111 Smart Wizard.lnk = C:\Program Files\NETGEAR\WN111\wn111.exe
O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - PC Tools - C:\Program Files\Common Files\PC Tools\sMonitor\StartManSvc.exe

--
End of file - 5273 bytes
un poco mas y uso todo los programa del foro

Hola almadillo

Ya que hiciste tanto, una mancha mas al tigre.......No le hace nada no ??

El log de Hijackthis está limpio. vas a realizar el siguiente procedimiento:

PASO 1: Descarga lo siguiente:

º CCLEANER. Lo instalas según Su Manual

º MALWAREBYTE´S. Lo instalas y actualizas según su manual, PERO NO LO EJECUTES AUN

º DR WEB CURE-IT y su Manual


PASO 2: Ejecuta los programas en este òrden:


º CCLEANER usando sus opciones Limpiador y "Registro"

º MALWAREBYTE´S. Seleccionas hacer un "escaneo completo". Una vez finalizado, si te detecta algo eliges " quitar lo seleccionado ". Si te pide reiniciar, lo haces.

º DR WEB, haciendo 1ero un chequeo express y luego un EXAMEN COMPLETO, eliminado todo lo que encuentre.


Descarga el ESET Smart Installer

º Lo ejecutas

º Marcas las casillas de Eliminar las amenazas detectadas y analizar archivos.

º Haces clic en Configuración adicional y ahi marcas las casillas:

Analizar en busca de aplicaciones potencialmente indeseables,
Analizar en busca de aplicaciones potencialmente peligrosas
Activar la tecnoligía Anti-Stealth.

º Pulsas en Iniciar para que empiece a descargar la base firmas de virus y posteriormente empiece a analizar tu sistema.

Cuando acabe haz clic en Finalizar

º Localizar el reporte en C:\Archivos de programa\ESET\ESET Online Scanner\log


En tu pròxima respuesta, debes pegar el reporte de Dr Web, MALWAREBYTES y el de ESET ONLINE SCANER.

Te dejo saludos y espero tu respuesta.

Informe

Ya Q desidio rescatar y pintarle mas rayas al tigre fui al primer brinco

tenia el CCleaner una vercion atrasada lo actualize (lipiador,registro)

descarge malwarebyte, pero UPS un ERROR.
era algo que tenia que ver, el file no se podia leer O ARCHIVO DANADOS

CONCLUCION!
la descarga avia sido afestada, regrese adescargarlo con ECXITO

INTALACION de malwarebyte
al intalar salio un aviso YOU SYSTEM IS LOW ON VIRTUAL MEMORY
asi que fui a la configuracion de la memoria virtual y deje
que el systema aumentara la memoria si era necesario.

RESULTADO DE malwarebyte
si aun el tigre le quedaban pulgas! , limpie de acuerdo a sus intrucciones

Malwarebytes' Anti-Malware 1.41
Database version: 3106
Windows 5.1.2600 Service Pack 3

05/11/2009 03:07:20 p.m.
mbam-log-2009-11-05 (15-07-06).txt

Scan type: Full Scan (A:\|C:\|D:\|E:\|)
Objects scanned: 187678
Time elapsed: 1 hour(s), 28 minute(s), 18 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 10
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 2
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\RegFixPro (Rogue.RegFixPro) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\W MPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\RegFixPro (Rogue.RegFixPro) -> No action taken.

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
C:\Documents and Settings\Owner\Application Data\RegFixPro (Rogue.RegFixPro) -> No action taken.
C:\Documents and Settings\Owner\Application Data\RegFixPro\Logs (Rogue.RegFixPro) -> No action taken.

Files Infected:
C:\Documents and Settings\Owner\Application Data\RegFixPro\resultsw.db (Rogue.RegFixPro) -> No action taken.
C:\Documents and Settings\Owner\Application Data\RegFixPro\Logs\2009-01-15 18-39-220.log (Rogue.RegFixPro) -> No action taken.


instalacion del DR WEB

cuando instale DR WEB me salio este aviso por segunda ves

YOU SYSTEM IS LOW ON VIRTUAL MEMORY. WINDOW IS INCREASING THE SIZE OF
YOUR VIRTUAL MEMORY PAGING FILE.DURING THIS PROCESS,MEMORY REQUESTS
FOR SOME APPLICATIONS MAY BE DENIED.FOR MORE INFORMATION, SEE HELP

CONCLUCION

de tantos escanear online y astualizacion de la base de firmas de los
mismo, el consumo de otros programa escaseo la memoria virtual

desintale Malwarebytes y sus componentes use hijackthis y elimine los
siguente:

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O16 - DPF: {22492231-AEF0-49FC-9180-CE8969AB1273} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

limpie con ccleaner (lipiador,registro) y listo.


Reporte del DR WEB

objeto\04611486.FIL.OLD\Ruta\C:\$VALUE$.AVG\Estado \Trojan.Fake.311
objeto\44841985.FIL.OLD\Ruta\C:\$VALUE$.AVG\Estado \Trojan.Fake.311


fueron eliminados, era la causa de que el pc se pausara, al terminar con
Malwarebytes tenia todabia el sintoma (hardparkinsondrive) note rapido
el canbio pero no hay que descartar la idea que Malwarebytes ayudo.

reporte ESET smart installer
no detecto AMENAZA Y NINGUNA y otra IREGULARIDAD

escuche musica vi algunos videos y to bien. no estoy seguro que
sean manias mia pero algo, talvez insignificante susede, ahora al abril archivos
queda unos segundo aparece el icono de un flashlight (linterna) buscando y luego
aparese lo del archivo. cuando lo sierro enpiesa a serrar en cascada cuando lo muebo de un lado a otro es como si dejara sombra, no es normal que suseda
en esta pc.

este es el modelo y sus componente por si le sirben de referencia
y pueda aconsejarme

microsoft windows xp home edition
version 2002
service pack 3
prosesador Celeron CPU 2.50 GHz
2.47 GHz, 248 MB of RAM

Bueno....Vamos mejorando.

Esto ùltimo que relatas puede deberse a la falla de algùn driver de video (despuès vemos eso) o a falta de limpieza de tu ordenador, que es lo que vamos a hacer ahora.

Para Mejorar el Rendimiento de tu pc, por favor, sigue estos pasos:


Haz un Scandisk a tu disco duro


Descarga ARGENTE REGITRY CLEANER

Actualiza Actualiza JAVA


Descarga Glary Utilities. Lo instalas y actualizas (pestaña ESTADO)

º Vas a su pestaña MANTENIMIENTO 1 CLIC y presionas el boton VER RESULTADOS. Espera a que termine y presionas REPARAR PROBLEMAS.

º Vas a su pestaña MODULOS y alli utilizas:
º LIMPIAR DISCO (cuando termine el scan, das a SIGUIENTE)
º LIMPIADOR DE REGISTRO (presionas BUSCADOR DE PROBLEMAS DE REGISTRO y cuando termine REPARAR)



DESFRAGMENTA el/los discos duros....con DEFRAGGLER




Reinicias el ordenador y luego Nos comentas... Saludos

Comense al segundo salto, ejecute scandisk, ohoh que bien otro error

ESTE FUE EL ERROR: autochk program not found, skipping autocheck

Conclusion

Antes de consurtarle se frizaba totalmente, removi muchos de los archivos
de la carpeta system32 consultando con diccionario en internet y lo que
yo dudaba no lo tocaba , pude aver eliminado algun archivo
o ejecutable en ese entonces.

no tengo el cd de windows para restableser algun archivo
y el backup lo perdi en la mudansa ase poco

ahora si comenzaron mis dolores de caveza

Bueno.....que lástima.

La verdad que si....es posible que te hallas cargado archivos vitales de Windows, ya que tu sistema està desinfectado por completo.....Pero sigue estando Inestable.

No le veo otra soluciòn que Formatear el disco para estabilizar el sistema.

Saludos

luego de aver resibido la mala noticia, me dije talves tenga algo derazon
pero el sistema aun sige teniendo los mismo sintomas, mucho antes de aver
eliminado los archivos.

comence a pensar mientras trabajaba en mi lapto personal
y se me ocurrio una idea pence que era a riesgar todo el sistema ya
que no abia solucion o la idea puede que funcione .

esta fue la idea y redactare cada paso por si silve de referencia futuras.
no es buena la idea ya que puede aver conflisto de datos y ariesgar
todo pero no me queda de otra.

A)como tenia una laptop con el mismo sistema operativo reinicie en modo
seguro fuy a la carpeta system32 de mi laptop copie los .dll y .exe pero no
las carpetas, ya que no toque nada de ellas.

B)pase todo esos archivo a un disco externo que tengo con el nombre de
prueba. tanbien se puede en otros dispositivos.

C)fuy al pc afectado (desktop) tanbien en modo apruba de fallo (save mode)
conecte el dispositibo externo y abri la carpeta prueba fuy a editar selecsione
todo y lo copie.

D)busque la carpeta sistem32 en el pc afectado y la abri y pase todo, pero
cuando me desia que si queria remplasar un archivo marca no ya que no era
nesesario replasar archivos que el sistema tiene fue tedioso pero funciono

luego segui sus intrucione para verifical que el Scandisk funcionara correstamente

En windows XP/VISTA, realiza lo siguiente:

MI PC, click dercho sobre DISCO C, PROPIEDADES, HERRAMIENTAS, COMPROBAR AHORA.
Tilda los DOS casilleros y le das a iniciar.
Reinicia la pc y comenzará el proceso..

resulta que funciono y cuando termino se reinicio pero vorbio a salir
algo que tenia que ver rebisando la estabilidad y luego el logo.
y detras de eso mi

PERO tube que enpesar desde cero ya que pase datos de otro
sistema y algunos datos pueden que esten infestados.

asi que comence sus intrucciones dede el principio

tan pronto termine le comentare como se siente el sistema
y seguir sus consejos, espere mi prosimo mensaje

Bueno.....Hiciste un verdadero injerto de sistemas....

Nos comentas luego como resultò ese experimento. Saludos

despues que ise el injesto, la pc ase sus funciones bien, segui
de nuevo todas sus intruciones al pie de la letra, si encontro infeccion
como lo abiamos imajinado.

luego CCleaner y ARGENTE REGITRY CLEANER se encargaron de eliminar
lo que no era nesesario despues de aver echo el esperimento.

el injesto funciono al 100% y el sistema 100%

pero cuando sierro las ventanas se sierran en forma de cascada y sigue
apareciendo la linterna (flashlight) cuando abro algun archivo.