 |
| |||||||
| Foro Oficial de HijackThis en español Analizamos tu log de HijackThis para eliminar Hijackers, Spyware, Adware, ToolBars, Virus, Troyanos y Malwares en gral. Antes lea las Políticas del Foro de HijackThis. |
 |
| | Enviar a: | Herramientas |
 | 
19/05/06, 10:16:32
|  |
| |||
| Problema con Spyware o virus que ma abre la carpeta windows al iniciar el Sistema Ope He realizado todos los pasos que en este foro recomiendan para eliminar el problema que tenia cn el spyware que me mostraba el icono rojo en la barra de tareas notificandome que mi máquia habia sido infectada. Ok..ya solucione esto pero aun tengo el problema de que se me habre la carpeta windows al instante de iniciar el sistema operativo y ademas si utilizo la combinacion de teclas ctrl+alt+supr para abrir el administrador de tareas me dice que esta bloqueado por un administrador. he utilizado el spybot, el regclean y el hijackThis tal como lo indican en este foro. Les solicito su ayuda para solucionar este problema. De ante mano muchas gracias..y feclicidades me ha sido muy util este foro. Mi Log despues de ejecutar las herramientas indicadas es: Logfile of HijackThis v1.99.1 Scan saved at 07:11:41 a.m., on 19/5/2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Archivos de programa\Internet Explorer\iexplore.exe C:\Archivos de programa\Internet Explorer\iexplore.exe C:\WINDOWS\Explorer.EXE C:\Archivos de programa\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O1 - Hosts: 85.249.139.66 socks.tempservice.org O1 - Hosts: 85.249.138.154 socks.temphost.ws O1 - Hosts: 85.249.138.154 j003_fljkdr.fgkfps.com O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {5AA06644-BC46-4220-A460-47A6EB47C96D} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [SonicFocus] "C:\Archivos de programa\Sonic Focus\SFIGUI\SFIGUI.EXE" BOOT O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon.exe -AutoStart O4 - HKLM\..\Run: [msmsn] c:\windows\system32\msmsn.exe O4 - HKLM\..\Run: [brmfrsmq] C:\WINDOWS\System32\brmfrsmq.exe O4 - HKLM\..\Run: [a15d1c31.exe] C:\WINDOWS\System32\a15d1c31.exe O4 - HKLM\..\RunServices: [brmfrsmq] C:\WINDOWS\System32\brmfrsmq.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV0 2.EXE O4 - Global Startup: Service Manager.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} - http://download.akamaitools.com.edgesuite.net/dlmanager/dev/code/IE_1070/DownloadManager.cab O16 - DPF: {5D8844F9-1CB8-11D2-A0A0-00600859EB9F} - O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129136802559 O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - O16 - DPF: {E991BDE0-9816-4094-853E-6BDB60F0342D} - http://apps.corel.com/nos_dl_manager/plugin/IENetOpPlugin.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{0630B0C9-AE22-44FD-ABEE-E484B6F6420F}: NameServer = 85.255.113.94,85.255.112.19 O17 - HKLM\System\CCS\Services\Tcpip\..\{DEB29851-91C4-4B4D-A29D-15F902360C38}: NameServer = 85.255.113.94,85.255.112.19 O17 - HKLM\System\CS1\Services\Tcpip\..\{0630B0C9-AE22-44FD-ABEE-E484B6F6420F}: NameServer = 85.255.113.94,85.255.112.19 O17 - HKLM\System\CS2\Services\Tcpip\..\{0630B0C9-AE22-44FD-ABEE-E484B6F6420F}: NameServer = 85.255.113.94,85.255.112.19 O18 - Protocol: dynascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Protocol: qrev - {9DE24BAC-FC3C-42C4-9FC4-76B3FAFDBD90} - C:\ARCHIV~1\QUESTS~1\TOADFO~1\RNetPin.dll O20 - Winlogon Notify: 20242402reg - C:\Documents and Settings\All Users\Documentos\Settings\20242402.dll O20 - Winlogon Notify: mmxeroxk - C:\WINDOWS\SYSTEM32\mmxeroxk.dll O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Documentos\Settings\polymorph.dll O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\ora92\bin\omtsreco.exe O23 - Service: OracleoracleAgent - Oracle Corporation - C:\oracle\ApplicationServer\bin\agntsrvc.exe O23 - Service: OracleoracleEMWebsite - Unknown owner - C:\oracle\ApplicationServer\bin\nmentsrvc.exe O23 - Service: OracleoracleProcessManager - Unknown owner - C:\oracle\ApplicationServer\opmn\bin\opmn.exe O23 - Service: OracleoracleWebCache - Unknown owner - C:\oracle\ApplicationServer\bin\webcached.exe O23 - Service: OracleoracleWebCacheAdmin - Unknown owner - C:\oracle\ApplicationServer\bin\webcached.exe O23 - Service: OracleoracleWebCacheMon - Unknown owner - C:\oracle\ApplicationServer\bin\webcachemon.exe O23 - Service: OracleOraHome92Agent - Oracle Corporation - C:\oracle\ora92\bin\agntsrvc.exe O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE O23 - Service: OracleOraHome92HTTPServer - Unknown owner - C:\oracle\ora92\Apache\Apache\apache.exe" --ntservice (file missing) O23 - Service: OracleOraHome92ManagementServer - Unknown owner - C:\oracle\ora92\bin\OMSNTsrv.exe O23 - Service: OracleOraHome92PagingServer - Unknown owner - C:\oracle\ora92/bin/pagntsrv.exe O23 - Service: OracleOraHome92SNMPPeerEncapsulator - Unknown owner - C:\oracle\ora92\BIN\ENCSVC.EXE O23 - Service: OracleOraHome92SNMPPeerMasterAgent - Unknown owner - C:\oracle\ora92\BIN\AGNTSVC.EXE O23 - Service: OracleOraHome92TNSListener - Unknown owner - C:\oracle\ora92\BIN\TNSLSNR.exe O23 - Service: OracleServiceBDGLOBAL - Oracle Corporation - c:\oracle\ora92\bin\ORACLE.EXE O23 - Service: OracleServiceMIBD - Oracle Corporation - c:\oracle\ora92\bin\ORACLE.EXE O23 - Service: PowerAlert Network Alert Log Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\netalert.exe O23 - Service: PowerAlert Port Manager Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\portmgr.exe O23 - Service: PowerAlert Remote Shutdown Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\remotesd.exe O23 - Service: PowerAlert UPS Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\paserver.exe O23 - Service: PowerAlert Web Engine - Unknown owner - C:\Archivos de programa\Tripp Lite\PowerAlert\Engine\pawebsvr.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe |
| InfoSpyware | ||
| |
|
20/05/06, 14:25:32
| |
| ||||
| Re: Problema con Spyware o virus que ma abre la carpeta windows al iniciar el Sistema Hola te doy la bienvenida al foro, no te olvides de pasar por WindowsUpdate periódicamente para tener actualizado el sistema, luego sigue estos pasos: 1.- Descarga las herramientas WinsockFix y VundoFix, pero no la ejecutes aún. 2.- Apaga el "Restaurar Sistema" 3.- Activa la opción Ver Archivos Ocultos 4.- Reinicia en Modo a Prueba de Fallos 5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas: R3 - Default URLSearchHook is missing O1 - Hosts: 85.249.139.66 socks.tempservice.org O1 - Hosts: 85.249.138.154 socks.temphost.ws O1 - Hosts: 85.249.138.154 j003_fljkdr.fgkfps.com O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file) O3 - Toolbar: (no name) - {5AA06644-BC46-4220-A460-47A6EB47C96D} - (no file) O4 - HKLM\..\Run: [msmsn] c:\windows\system32\msmsn.exe O4 - HKLM\..\Run: [brmfrsmq] C:\WINDOWS\System32\brmfrsmq.exe O4 - HKLM\..\Run: [a15d1c31.exe] C:\WINDOWS\System32\a15d1c31.exe O4 - HKLM\..\RunServices: [brmfrsmq] C:\WINDOWS\System32\brmfrsmq.exe O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} - http://download.akamaitools.com.edgesuite.net/dlmanager/dev/code/IE_1070/Downloa dManager.cab O16 - DPF: {5D8844F9-1CB8-11D2-A0A0-00600859EB9F} - O17 - HKLM\System\CCS\Services\Tcpip\..\{0630B0C9-AE22-44FD-ABEE-E484B6F6420F}: NameServer = 85.255.113.94,85.255.112.19 O17 - HKLM\System\CCS\Services\Tcpip\..\{DEB29851-91C4-4B4D-A29D-15F902360C38}: NameServer = 85.255.113.94,85.255.112.19 O17 - HKLM\System\CS1\Services\Tcpip\..\{0630B0C9-AE22-44FD-ABEE-E484B6F6420F}: NameServer = 85.255.113.94,85.255.112.19 O17 - HKLM\System\CS2\Services\Tcpip\..\{0630B0C9-AE22-44FD-ABEE-E484B6F6420F}: NameServer = 85.255.113.94,85.255.112.19 O20 - Winlogon Notify: 20242402reg - C:\Documents and Settings\All Users\Documentos\Settings\20242402.dll O20 - Winlogon Notify: mmxeroxk - C:\WINDOWS\SYSTEM32\mmxeroxk.dll O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Documentos\Settings\polymorph.dll 6.- Sin reiniciar, busca y elimina estos archivos, si aún los encuentras, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar. C:\WINDOWS\system32\winbrume.dll c:\windows\system32\msmsn.exe C:\WINDOWS\System32\brmfrsmq.exe C:\WINDOWS\System32\a15d1c31.exe C:\WINDOWS\System32\brmfrsmq.exe C:\Documents and Settings\All Users\Documentos\Settings\20242402.dll C:\WINDOWS\SYSTEM32\mmxeroxk.dll C:\Documents and Settings\All Users\Documentos\Settings\polymorph.dll 7.- Siguiendo lod pasos de su manual ejecuta la herramienta VundoFix 8.- Pasa el Disk Cleaner para limpiar cookies y temporales 9.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar. 10.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster 11.- Reinicia la maquina y realiza un escaneo con Ewido Online, luego pega otro log de Hijackthis y nos cuentas como te fue. 12.- Deshaz los pasos 2 y 3. 13.- Es probable que al darle "Fix Checked" a las entradas 017 te quedes sin conexión a internet, para reparar la conexión ejecuta la herramienta WinsockFix, al reinicio de tu máquina puede que tengas que volver a configurar las propiedades de tu conexión. De preferencia imprime las indicaciones para que se te haga mas facil seguirlas. Saludos  Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
« Tema Anterior
|
Próximo Tema »
| Herramientas | |
| |
| 
Temas Similares | |
| Tema | Autor | Foro | Respuestas | Último mensaje |
| Cómo aprovechar al máximo la memoria de su PC | Ekinox | Off-Topic | 1 | 21/01/07 22:19:20 |
| Muy Buenas tardes. Trojan DomCom ayuda ¿Podrían revisar mi log?. Gracias. | faeton | Foro de Software | 12 | 29/09/06 11:20:37 |
| algo muy raro con las ventanas de internet | ottino | Foro de Virus y Spywares | 1 | 20/05/06 15:07:58 |
| Estoy Infectada (Solucionado) | mataguilar | Temas Solucionados | 3 | 19/11/05 20:39:42 |
| Gane dinero enviando dinero. La estafa de la pirámide | InfoSpyware | Últimas Noticias | 2 | 10/04/05 14:21:34 |
Todas las horas son GMT -4. La hora es 00:09:30.
