• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    Virus ataca constantemente a mi DNS Cache y levanta un especie de proxy.

    Resumen del tema: Virus ataca constantemente a mi DNS Cache y levanta un especie de proxy. - Saludos amigos de Forospyware una vez mas recurro a su superforo ya que le problema que tiene mi maquina sobrepasa mis conocimientos Realize todos los pasos para antes de postear pero sigo on problemas. Mi ...

    1. #1
      Usuario Avatar de asraelooo
      Registrado
      ene 2008
      Ubicación
      Ecuador
      Mensajes
      11

      Virus ataca constantemente a mi DNS Cache y levanta un especie de proxy.

      Saludos amigos de Forospyware una vez mas recurro a su superforo ya que le problema que tiene mi maquina sobrepasa mis conocimientos

      Realize todos los pasos para antes de postear pero sigo on problemas.

      Mi log de HiJackThis:

      Logfile of Trend Micro HijackThis v2.0.4
      Scan saved at 14:13:24, on 12/06/2011
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v8.00 (8.00.6001.18702)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
      C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe
      C:\Archivos de programa\Bonjour\mDNSResponder.exe
      C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
      C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Archivos de programa\TeamViewer\Version6\TeamViewer_Service.exe
      C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe
      C:\Archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
      C:\Archivos de programa\Hp\HP Software Update\HPWuSchd2.exe
      C:\Archivos de programa\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
      C:\Archivos de programa\iTunes\iTunesHelper.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe
      C:\Archivos de programa\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
      C:\Documents and Settings\Mijael Mardonez\Datos de programa\Dropbox\bin\Dropbox.exe
      C:\Archivos de programa\Hewlett-Packard\Shared\HpqToaster.exe
      C:\Archivos de programa\iPod\bin\iPodService.exe
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\Archivos de programa\Ralink\Common\RalinkRegistryWriter.exe
      C:\Archivos de programa\Ralink\Common\RaUI.exe
      C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.kaspersky.com/viruswatchlite/
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe"
      O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
      O4 - HKLM\..\Run: [HP Software Update] c:\Archivos de programa\Hp\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAShCut.exe
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\RunOnce: [OSSProxy] c:\archivos de programa\relevantknowledge\rlvknlg.exe -bootinstall
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Mijael Mardonez\Datos de programa\Dropbox\bin\Dropbox.exe
      O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE
      O4 - Global Startup: BlueSoleil.lnk = C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe
      O4 - Global Startup: HP Pavilion Webcam Tray Icon.lnk = C:\Archivos de programa\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
      O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Archivos de programa\Ralink\Common\RaUI.exe
      O8 - Extra context menu item: Add to Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\ie_banner_deny.htm
      O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\scieplgn.dll
      O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
      O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1286404248921
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1288687443953
      O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = construvita.net
      O17 - HKLM\Software\..\Telephony: DomainName = construvita.net
      O17 - HKLM\System\CCS\Services\Tcpip\..\{FD2F4CE8-BE3D-4A27-9F2D-F00CEAC1C4EA}: NameServer = 192.168.3.2
      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = construvita.net
      O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0FO\kloehk.dll,C:\ARCHIV~1\KASPER~1\KASPER~1.0FO\adialhk.dll
      O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
      O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
      O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe
      O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
      O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
      O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
      O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
      O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
      O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
      O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
      O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
      O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Archivos de programa\Ralink\Common\RalinkRegistryWriter.exe
      O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
      O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
      O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
      O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
      O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Archivos de programa\TeamViewer\Version6\TeamViewer_Service.exe
      O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe
      O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
      O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

      --
      End of file - 10345 bytes

    2. #2
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      22.965

      Re: Virus ataca constantemente a mi DNS Cache y levanta un especie de proxy.

      Hola al Foro de InfoSpyware.

      Sigue estos pasos:

      - Desinstala todo lo relacionado a relevantknowledge

      1.- Descarga los siguientes programas en el escritorio, pero no los ejecutes todavía:



      2.- Con todos los programas cerrados, ejecuta HijackThis y dale a las siguientes entradas:


      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local

      O4 - HKCU\..\RunOnce: [OSSProxy] c:\archivos de programa\relevantknowledge\rlvknlg.exe -bootinstall

      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = construvita.net

      O17 - HKLM\Software\..\Telephony: DomainName = construvita.net

      O17 - HKLM\System\CCS\Services\Tcpip\..\{FD2F4CE8-BE3D-4A27-9F2D-F00CEAC1C4EA}: NameServer = 192.168.3.2

      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = construvita.net

      O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0FO\kloehk.dll,C:\AR CHIV~1\KASPER~1\KASPER~1.0FO\adialhk.dll


      3.- Sin reiniciar, vamos a utilizar ahora OTM:

      • Haz doble clic sobre el icono OTM.exe para ejecutarlo.
      • Pega el siguiente script bajo el area "Paste Instructions for items to be Moved". (Se excluye la palabra "codigo").

        Código:
        :files
        c:\archivos de programa\relevantknowledge /d
        
        :commands
        [PURITY]
        [RESETHOSTS]
        [EMPTYTEMP]
        [EMPTYFLASH]
        [REBOOT]
      • Presiona el boton rojo MoveIt!
      • Espera hasta cuando el resultado aparezca en el marco Results.
      • Permite que se reinicie el equipo, esto es importante. Si el programa no lo reinicia automáticamente, reinicia el equipo manualmente.
      • Envía el reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log (donde sale "***_***" es la fecha y hora)


      4.- Después del reinicio, vamos a ejecutar Malwarebytes' Anti-Malware: haz un examen completo; luego presiona "Mostrar Resultados" y a continuación pulsar sobre "Quitar lo Seleccionado" . Si la herramienta solicita reiniciar, permítelo para que pueda eliminar las infecciones. El reporte se guarda en la pestaña Registros (recuerda actualizar la base de datos de Malwarebytes antes de ejecutarla).

      5.- A continuación vamos a ejecutar CCleaner: usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que éste te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad cuando te lo solicita el mismo programa).

      6.- Vuelve a sacar ahora otro log de Hijackthis. En tu próxima respuesta, dejas el reporte de OTM, Malwarebytes’ y ese nuevo log de Hijackthis para comprobar como quedó todo. Comenta también que tal está funcionando ahora tu sistema.


      Si hubiese problemas con tu conexión a internet utilizas el programa WinsockFix

      Saludos

    3. #3
      Usuario Avatar de asraelooo
      Registrado
      ene 2008
      Ubicación
      Ecuador
      Mensajes
      11

      Re: Virus ataca constantemente a mi DNS Cache y levanta un especie de proxy.

      Saludos, GPastor

      Realize todo lo indicado, te comento que no le hice Fixchecked a estas entradas ya que obedecen a un dominio genuino al que accedo con mi PC:

      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = construvita.net

      O17 - HKLM\Software\..\Telephony: DomainName = construvita.net

      O17 - HKLM\System\CCS\Services\Tcpip\..\{FD2F4CE8-BE3D-4A27-9F2D-F00CEAC1C4EA}: NameServer = 192.168.3.2

      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = construvita.net


      Despues de que realice todo lo indicado revise mi archivo hosts para ver si tenia algun cambio y efectivamente habia cambiado no lo toque, actualmente esta asi:

      127.0.0.1 localhost
      : : : 1 localhost

      Mi Kaspersky es de paga y es el que basicamente me ha estado indicando que la maquina esta con problemas.

      A continuacion los logs:

      HiJackThis:

      Logfile of Trend Micro HijackThis v2.0.4
      Scan saved at 23:00:55, on 13/06/2011
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v8.00 (8.00.6001.18702)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
      C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe
      C:\Archivos de programa\Bonjour\mDNSResponder.exe
      C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
      C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Archivos de programa\TeamViewer\Version6\TeamViewer_Service.exe
      C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe
      C:\Archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
      C:\Archivos de programa\Hp\HP Software Update\HPWuSchd2.exe
      C:\Archivos de programa\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
      C:\Archivos de programa\iTunes\iTunesHelper.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
      C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe
      C:\Archivos de programa\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
      C:\Documents and Settings\Mijael Mardonez\Datos de programa\Dropbox\bin\Dropbox.exe
      C:\Archivos de programa\Hewlett-Packard\Shared\HpqToaster.exe
      C:\Archivos de programa\iPod\bin\iPodService.exe
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.kaspersky.com/viruswatchlite/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
      O1 - Hosts: ÿþ127.0.0.1 localhost
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe"
      O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
      O4 - HKLM\..\Run: [HP Software Update] c:\Archivos de programa\Hp\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAShCut.exe
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Mijael Mardonez\Datos de programa\Dropbox\bin\Dropbox.exe
      O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE
      O4 - Global Startup: BlueSoleil.lnk = C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe
      O4 - Global Startup: HP Pavilion Webcam Tray Icon.lnk = C:\Archivos de programa\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
      O8 - Extra context menu item: Add to Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\ie_banner_deny.htm
      O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\scieplgn.dll
      O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
      O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1286404248921
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1288687443953
      O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = construvita.net
      O17 - HKLM\Software\..\Telephony: DomainName = construvita.net
      O17 - HKLM\System\CCS\Services\Tcpip\..\{FD2F4CE8-BE3D-4A27-9F2D-F00CEAC1C4EA}: NameServer = 192.168.3.2
      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = construvita.net
      O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0FO\kloehk.dll, C:\ARCHIV~1\KASPER~1\KASPER~1.0FO\adialhk.dll
      O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
      O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
      O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
      O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe
      O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
      O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
      O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
      O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
      O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
      O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
      O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
      O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
      O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
      O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
      O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
      O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
      O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Archivos de programa\TeamViewer\Version6\TeamViewer_Service.exe
      O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe
      O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
      O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

      --
      End of file - 9852 bytes




      OTM:

      All processes killed
      ========== FILES ==========
      File/Folder c:\archivos de programa\relevantknowledge not found.
      ========== COMMANDS ==========
      C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
      HOSTS file reset successfully

      [EMPTYTEMP]

      User: All Users

      User: Default User
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 67 bytes

      User: LocalService
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 32902 bytes

      User: Mijael Mardonez
      ->Temp folder emptied: 472546 bytes
      ->Temporary Internet Files folder emptied: 4541818 bytes
      ->Flash cache emptied: 456 bytes

      User: mmardonez
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 294871 bytes
      ->Flash cache emptied: 611 bytes

      User: NetworkService
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      %systemdrive% .tmp files removed: 0 bytes
      %systemroot% .tmp files removed: 2134225 bytes
      %systemroot%\System32 .tmp files removed: 2909 bytes
      %systemroot%\System32\dllcache .tmp files removed: 0 bytes
      %systemroot%\System32\drivers .tmp files removed: 0 bytes
      Windows Temp folder emptied: 483 bytes
      RecycleBin emptied: 0 bytes

      Total Files Cleaned = 7,00 mb


      OTM by OldTimer - Version 3.1.14.0 log created on 06132011_204047

      Files moved on Reboot...
      File C:\Documents and Settings\Mijael Mardonez\Configuración local\Temp\~DF9796.tmp not found!
      File C:\Documents and Settings\Mijael Mardonez\Configuración local\Temp\~DF97A0.tmp not found!
      File C:\Documents and Settings\Mijael Mardonez\Configuración local\Temp\~DF986F.tmp not found!
      File C:\Documents and Settings\Mijael Mardonez\Configuración local\Temp\~DF98DB.tmp not found!
      File C:\Documents and Settings\Mijael Mardonez\Configuración local\Temp\~DF9BA0.tmp not found!
      File C:\Documents and Settings\Mijael Mardonez\Configuración local\Temp\~DF9CB7.tmp not found!
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\OKU7MRY2\ads[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\OKU7MRY2\ads[2].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\OKU7MRY2\like[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\OKU7MRY2\Messenger[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\OKU7MRY2\xmlProxy[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\KWKKSMIO\ads[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\KWKKSMIO\ads[2].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\KWKKSMIO\default[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\KWKKSMIO\like[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\KWKKSMIO\LocalStorage[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\KWKKSMIO\resourcespreload[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\KWKKSMIO\xmlProxy[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\KWKKSMIO\xmlProxy[2].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\I2AYYZZP\adloader[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\I2AYYZZP\ads[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\I2AYYZZP\xmlProxy[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\1QGRHA82\ads[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\1QGRHA82\InboxLight[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\1QGRHA82\otm[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\1QGRHA82\t384555[1].html moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\1QGRHA82\WebIMPop[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\Content.IE5\1QGRHA82\xmlProxy[1].htm moved successfully.
      C:\Documents and Settings\Mijael Mardonez\Configuración local\Archivos temporales de Internet\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

      Registry entries deleted on Reboot...



      Malawarebytes:

      Malwarebytes' Anti-Malware 1.51.0.1200
      www.malwarebytes.org

      Versión de la Base de Datos: 6851

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 8.0.6001.18702

      13/06/2011 22:01:36
      mbam-log-2011-06-13 (22-01-36).txt

      Tipos de Análisis: Análisis Completo (C:\|)
      Objetos examinados: 197795
      Tiempo transcurrido: 47 minuto(s), 59 segundo(s)

      Procesos en Memoria Infectados: 0
      Módulos de Memoria Infectados: 0
      Claves del Registro Infectadas: 0
      Valores del Registro Infectados: 0
      Elementos de Datos del Registro Infectados: 0
      Carpetas Infectadas: 0
      Archivos Infectados: 1

      Procesos en Memoria Infectados:
      (No se han detectado elementos maliciosos)

      Módulos de Memoria Infectados:
      (No se han detectado elementos maliciosos)

      Claves del Registro Infectadas:
      (No se han detectado elementos maliciosos)

      Valores del Registro Infectados:
      (No se han detectado elementos maliciosos)

      Elementos de Datos del Registro Infectados:
      (No se han detectado elementos maliciosos)

      Carpetas Infectadas:
      (No se han detectado elementos maliciosos)

      Archivos Infectados:
      c:\_instaladores basicos\WIN RAR\Patcher.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.



      La compu al parecer sigue igual no puedo instlar Windows Live Messenger y es algun tema de conexion o redireccionamineto.

    4. #4
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      22.965

      Re: Virus ataca constantemente a mi DNS Cache y levanta un especie de proxy.

      Sigue estos pasos:

      - Descarga la herramienta ComboFix.exe y guárdala en el escritorio.
      • Desactiva temporalmente el Antivirus y/o Antispyware.
      • Cierra todas las ventanas abiertas.
      • Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
      • Cuando termine, generará un registro en C:\ComboFix.txt.
        • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
        • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.
      • Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.


      Saludos