Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola Amigos

Tengo un problema con el administrador de tareas en Windows XP. Hace unos días tengo un archivo que me desactiva el administrados de tareas, la única forma de borrarlo es con el Ad Aware que me funciona muy bien y efectivamente me lo borra.

La cuestión es que siempre que enciendo la máquina el archivo vuelve y me desactiva el administrador de tareas. Es decir que hay un archivo arrancando con Windows que vuelve y hace lo mismo así ya lo haya borrado desde antes con el Ad Aware.

Acá adjunto una lista de los programas con que arranca Windows, segundo una lista del reporte que me hace el Ad Aware cada vez que me detecta esto. Y tercero un reporte de Hijackthis.

Les agradezco infinitamente su ayuda si me dicen qué debo borrar, los procedimientos a seguir.

Saludos
Andryous Smith


Reporte de programas de inicio:

RegCleaner 4.3 by Jouni Vuorio, translation by Jesús Felipe
Estos programas se ejecutan cada vez que enciende el ordenador. Intente mantener esta lista lo más reducida posible.
[syntax: Programa, Nombre del archivo, Cargado por ]

Adobe Gamma Loader, N/A, Menú de Inicio (usuario habitual)
Avg7_cc, C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP, HKEY_LM\Run
Avg7_emc, C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe, HKEY_LM\Run
C-Media Mixer, Mixer.exe /startup, HKEY_LM\Run
Ctfmon.exe, C:\WINDOWS\system32\ctfmon.exe, HKEY_CU\Run
Desktop, N/A, Menú de Inicio
Desktop, N/A, Menú de Inicio (usuario habitual)
Eraser, C:\Archivos De Programa\Eraser\eraser.exe -hide, HKEY_CU\Run
HP Digital Imaging Monitor, N/A, Menú de Inicio (usuario habitual)
Msmsgs, "C:\Archivos De Programa\Messenger\msmsgs.exe" /background, HKEY_CU\Run
NvCplDaemon, RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup, HKEY_LM\Run
Nview, Rundll32.exe Nview.dll,nViewLoadHook, HKEY_CU\Run
NvMediaCenter, RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit, HKEY_CU\Run
Nwiz, Nwiz.exe /install, HKEY_LM\Run
RAMpage, "C:\Archivos De Programa\RAMpage\RAMpage.exe" M=28 T=4 P="C:\Archivos De Programa\RAMpage\RAMpageConfig.exe", HKEY_LM\Run
Stardock ObjectDock, N/A, Menú de Inicio
System, C:\WINDOWS\system32\kernels8.exe, HKEY_LM\Run
SystemTools, C:\WINDOWS\system32\kernels8.exe, HKEY_LM\RunServices
Telesat Web Extreme, N/A, Menú de Inicio (usuario habitual)
Y'z ToolBar, N/A, Menú de Inicio

--------------------------------------------------

Reporte de Ad Aware:

Resultado del análisis de Ad-Aware SE, 08-05-2006 10:45:17
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Fabricante Tipo Categoría Objeto Comentario
Windows RegData Vulnerability HKEY_USERS:S-1-5-21-343818398-117609710-839522115-1003\software\microsoft\windows\currentversion\pol icies\system"DisableTaskMgr" ()


------------------------------------------------------

Reporte de HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 10:40:50, on 08/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\Archivos de programa\RAMpage\RAMpage.exe
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Eraser\eraser.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Telesat Web Extreme\extreme.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
D:\Software\SPYWARE\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp278A.tmp (file missing)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [RAMpage] "C:\Archivos de programa\RAMpage\RAMpage.exe" M=28 T=4 P="C:\Archivos de programa\RAMpage\RAMpageConfig.exe"
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels8.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\system32\kernels8.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Eraser] C:\Archivos de programa\Eraser\eraser.exe -hide
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Telesat Web Extreme.lnk = C:\Archivos de programa\Telesat Web Extreme\extreme.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Buenasss, realiza los siguientes pasos:

Paso 1: Pasa por windows update y actualiza tu sistema

Paso 2: Apaga Restaurar Sistema

Paso 3: Activa ver archivos ocultos de sistema

Paso 4: Descarga las siguientes herramientas, pero no las ejecutes aún

• KillBox
• DelPSGuard
• Ad-Aware
• DiskCleaner
• RegSeeker

Paso 5: Ejecuta la PC en modo seguro

Paso 6: Con todos los programas cerrados dale "Fix Checked" a estas entradas:

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp278A.tmp (file missing)

O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels8.exe

O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\system32\kernels8.exe

Paso 7: Borra los siguientes archivos, usa KillBox si no se dejan eliminar manualmente:

C:\WINDOWS\system32\kernels8

C:\WINDOWS\system32\hp278A.tmp

Paso 8: Ejecuta DelPSGuard y Escanea la Pc con Ad-Aware

Paso 9: Pasa primero el DiskCleaner para limpiar cookies y temporales y luego el RegSeeker para limpiar el registro

Paso 10: Reinicia el equipo y escanea con Ewido Online

Paso 11: Instala SpywareBlaster

Paso 12: Peganos un nuevo reporte de HiJackThis para ver como quedó

*Si quieres puedes imprimir las instrucciones para que te resulte mas facil seguirlas*

Nos cuentas

Bueno amigos...

Al parecer mis problemas han sido resueltos, les agradezco muchísimo por su colaboración!!! De todos modos si ven algo raro aquí me dicen para borrarlo.

Saludos
Andryous

Este es mi último reporte de Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 21:13:17, on 15/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\Archivos de programa\RAMpage\RAMpage.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Eraser\eraser.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Telesat Web Extreme\extreme.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Archivos de programa\HyCam2\HyCam2.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Winamp\Winamp.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Outlook Express\msimn.exe
D:\Software\SPYWARE\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:5400
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - (no file)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [RAMpage] "C:\Archivos de programa\RAMpage\RAMpage.exe" M=28 T=4 P="C:\Archivos de programa\RAMpage\RAMpageConfig.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Eraser] "C:\Archivos de programa\Eraser\eraser.exe" -hide
O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Telesat Web Extreme.lnk = C:\Archivos de programa\Telesat Web Extreme\extreme.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Show All Original Images - res://C:\Archivos de programa\Telesat Web Extreme\extreme.exe/250
O8 - Extra context menu item: Show Original Image - res://C:\Archivos de programa\Telesat Web Extreme\extreme.exe/227
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E83A8C4C-00D4-4071-A395-DF094633F058}: NameServer = 66.128.32.83 66.128.32.115
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Buenasss

El log esta limpio, solo dale fix a esta entrada

O2 - BHO: (no name) - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - (no file)

Damos el tema como Solucionado