| |||||||
| Foro Oficial de HijackThis en español Analizamos tu log de HijackThis para eliminar Hijackers, Spyware, Adware, ToolBars, Virus, Troyanos y Malwares en gral. Antes lea las Políticas del Foro de HijackThis. |
 |
| | Enviar a: | Herramientas |
 | 
03/02/05, 16:52:36
|  |
| |||
| malware cambiante Hola a todos, tengo un pekeño problema kon aun malware ke se mete en ...\system32. El problema es el siguiente:Ejekuto el Ad-aware SE y me sale este malware kon diferentes nombres y extensiones, entre ellas: p2p6lc7s1f.dll; sbrialui.dll; guard.tmp y muchos otras .dll y .tmp. Al intentar eliminarlos me da un error, xq esta siendo utulizado(supongo ke estara entre los procesos, pero no se kual es). Elimino todos los demas spyware ke hay, y al volver a ejekutar el Ad-Aware me vuelven a aparecer 20 mas. Kon el antivirus me pasa lo mismo,es decir no lo elimina (uso norton-antivirus). Si sirve de algo(me llamo la atención) el fabrikante que aparece es VX2. Adjunto log del hijack por si facilita la labor: Logfile of HijackThis v1.99.0 Scan saved at 20:49:29, on 03/02/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\lqofdaai5.exe C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe C:\Archivos de programa\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Archivos de programa\Norton AntiVirus\SAVScan.exe C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\System32\Aihnlc.exe C:\WINDOWS\System32\hnmiwumn.exe C:\WINDOWS\svchst.exe C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE C:\WINDOWS\System32\ctfmon.exe C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\wuauclt.exe C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\explorer.exe C:\Archivos de programa\WinRAR\WinRAR.exe C:\DOCUME~1\Oscar\CONFIG~1\Temp\Rar$EX00.015\Hijac kThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos R3 - Default URLSearchHook is missing O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O2 - BHO: (no name) - {583F2539-AE7A-88E3-67DF-E84B7477DCDF} - C:\WINDOWS\System32\mafxpnfu.dll O2 - BHO: (no name) - {5C3E6CDF-5E1B-B3D6-E4EC-3037B8934494} - C:\WINDOWS\System32\otabyxmn.dll O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [scvhost] C:\Archivos de programa\Wiretap Professional\scvhost.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7 O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\hpjwtqm.exe O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\ndgojsx.exe O4 - HKLM\..\Run: [`KQQR_ZaT[\IP] C:\WINDOWS\System32\umhucanxrliu.exe O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfatz.exe O4 - HKLM\..\Run: [AIM95 Startup] aim95.exe O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe O4 - HKLM\..\Run: [Windows media service] crsss.exe O4 - HKLM\..\Run: [6wfKR] C:\WINDOWS\qmudkao.exe O4 - HKLM\..\Run: [version] C:\WINDOWS\System32\Ylopzg.exe O4 - HKLM\..\Run: [secure] C:\WINDOWS\System32\Aihnlc.exe O4 - HKLM\..\Run: [ycfmnrk] c:\windows\system32\ycfmnrk.exe O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe O4 - HKLM\..\Run: [wbkb] C:\WINDOWS\wbkb.exe O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [hnmiwumn] C:\WINDOWS\System32\hnmiwumn.exe O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\svchst.exe /i O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS\nvsvca32.exe O4 - HKLM\..\RunServices: [AIM95 Startup] aim95.exe O4 - HKLM\..\RunServices: [`KQQR_ZaT[\IP] C:\WINDOWS\System32\umhucanxrliu.exe O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe O4 - HKLM\..\RunServices: [Windows media service] crsss.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [AIM95 Startup] aim95.exe O4 - HKCU\..\Run: [Windows media service] crsss.exe O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-es/es/games3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0F7ED162-9930-426A-BA58-663AD7CC48B6}: NameServer = 80.58.61.250 80.58.61.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{6EF958C2-63B2-423E-BE6C-5C8870EA613D}: NameServer = 194.179.1.100,194.179.1.101 O17 - HKLM\System\CS1\Services\Tcpip\..\{0F7ED162-9930-426A-BA58-663AD7CC48B6}: NameServer = 80.58.61.250 80.58.61.254 O18 - Filter: text/html - {5D77D76C-DB82-4503-A705-998F6D558AEB} - C:\Documents and Settings\Oscar\Configuración local\Datos de programa\microsoft\internet explorer\V0.26.dat O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Kkkifl32.dll O21 - SSODL: mtkle - {3DEE8E6B-B5D7-4EB2-61AF-EFAF651615BD} - C:\WINDOWS\System32\aqsl32.dll (file missing) O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: wpxwivzurkpm - Unknown - C:\WINDOWS\System32\lqofdaai5.exe O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Servicio Auto-Protect de Norton AntiVirus - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SCA - Unknown - C:\WINDOWS\System32\SYSTEM.EXE (file missing) O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe Kreo ke tb tengo redireccionamientos hacia otras paginas. Estoy algo perdida asi ke si por favor podeis ayudarme os lo agradeceria mucho. Gracias x adelantado 1Abrazo desde Tenerife(España) |
| InfoSpyware | ||
| |
|
03/02/05, 17:20:41
| |
| ||||
| Antes que nada te doy la bienvenida al Foro de Spyware, te comento que el malware que tenes se llama justamente VX2 y para poder eliminarlo vamos a usar el Ad-Aware SE actualizado que si no lo tenes lo podes descargar de la firma y un adicional a este. Creale al HijackThis su propia carpeta con nombre por ej: HJT y cuando lo ejecutes que sea ahi dentro y con todos los programas cerrados Empeza mirando el administrador de procesos con Ctrl+Shift+Esc y si hay cualquiera de estos cortalos C:\WINDOWS\System32\lqofdaai5.exe C:\WINDOWS\System32\Aihnlc.exe C:\WINDOWS\System32\hnmiwumn.exe C:\WINDOWS\svchst.exe 1- Apaga el "Restaurar Sistema" 2- Prende la opción de "Ver archivos ocultos y del sistema" 3- Descargate este plug-ing para Ad-Aware SE llamado VX2 Cleaner eh instálalo en tu Ad-Aware SE. 4- Abrí el Ad-Aware SE y anda al botón de "Complementos" ahi vas a ver el "VX2 Cleaner" lo marcas y le das a "Ejecutar" y espera que termine el proceso a ver si lo elimina y despues pasas el Ad-Aware Se actualizado de manera completa. 5- Ejecuta el HijackThis y dale "FIX Cheked" a estas entradas: O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O2 - BHO: (no name) - {583F2539-AE7A-88E3-67DF-E84B7477DCDF} - C:\WINDOWS\System32\mafxpnfu.dll O2 - BHO: (no name) - {5C3E6CDF-5E1B-B3D6-E4EC-3037B8934494} - C:\WINDOWS\System32\otabyxmn.dll O4 - HKLM\..\Run: [scvhost] C:\Archivos de programa\Wiretap Professional\scvhost.exe O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\hpjwtqm.exe O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\ndgojsx.exe O4 - HKLM\..\Run: [`KQQR_ZaT[\IP] C:\WINDOWS\System32\umhucanxrliu.exe O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfatz.exe O4 - HKLM\..\Run: [AIM95 Startup] aim95.exe O4 - HKLM\..\Run: [Norton Personal Firewall] npfw32.exe O4 - HKLM\..\Run: [Windows media service] crsss.exe O4 - HKLM\..\Run: [6wfKR] C:\WINDOWS\qmudkao.exe O4 - HKLM\..\Run: [version] C:\WINDOWS\System32\Ylopzg.exe O4 - HKLM\..\Run: [secure] C:\WINDOWS\System32\Aihnlc.exe O4 - HKLM\..\Run: [ycfmnrk] c:\windows\system32\ycfmnrk.exe O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe O4 - HKLM\..\Run: [wbkb] C:\WINDOWS\wbkb.exe O4 - HKLM\..\Run: [hnmiwumn] C:\WINDOWS\System32\hnmiwumn.exe O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\svchst.exe /i O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe O4 - HKLM\..\Run: [nvsvca32] C:\WINDOWS\nvsvca32.exe O4 - HKLM\..\RunServices: [AIM95 Startup] aim95.exe O4 - HKLM\..\RunServices: [`KQQR_ZaT[\IP] C:\WINDOWS\System32\umhucanxrliu.exe O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw32.exe O4 - HKLM\..\RunServices: [Windows media service] crsss.exe O4 - HKCU\..\Run: [AIM95 Startup] aim95.exe O4 - HKCU\..\Run: [Windows media service] crsss.exe O4 - HKCU\..\Run: [Norton Personal Firewall] npfw32.exe O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-es/es/games3.cab O18 - Filter: text/html - {5D77D76C-DB82-4503-A705-998F6D558AEB} - C:\Documents and Settings\Oscar\Configuración local\Datos de programa\microsoft\internet explorer\V0.26.dat O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Kkkifl32.dll O21 - SSODL: mtkle - {3DEE8E6B-B5D7-4EB2-61AF-EFAF651615BD} - C:\WINDOWS\System32\aqsl32.dll (file missing) 6- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro) 7- Busca y elimina estos archivos manualmente C:\WINDOWS\System32\lqofdaai5.exe C:\WINDOWS\System32\Aihnlc.exe C:\WINDOWS\System32\hnmiwumn.exe C:\WINDOWS\svchst.exe 8- Usa el Disk Cleaner para limpiar cookies y temporales 9- Pásale Ad-Aware SE actualizado. 10- Reinicia y después nos contas los resultados. Salu2 Ausente hasta el 15 de Oct. En viaje al EISI 2009 (Colombia) Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
03/02/05, 18:09:36
| |
| |||
| Gracias por la rapidez Ante todo, gracias por la rapidez de la respuesta, en ningun foro me habian kontestado tan rapido y tan kompleto. Ahora voy kon algunos problemillas ke tengo al poner en practika la forma de limpiarlo. El proceso lqofdaai5.exe no puedo terminarlo, me da acceso denegado. Soy algo nueva en esto de eliminar spyware, no enkuentro en el hijack el FIX Cheked :-( . Kuando ejekuto el VX2 kleaner me aparece status: system clean(lo ke supongo ke ya lo a limpiado) pero al pasar de nuevo el Ad-adware me vuelve a salir. X ultimo y no menos importante(jeje) se me kuelga muxo la makina y me cierra ciertas paginas ke kiero visitar(komo la de Vx2 kleaner donde tuve ke pegar el enlace para deskargarlo)es esto normal? Muxas gracias LaPiedra x tu ayuda, ya ke la gente no suele prestar ayuda desinteresada kasi nunka. Kontigo se nota ke keda algo de humanidad en este mundo. Muxas gracias x adelantado y un beso de una chicharrera desde Tenerife(Kanarias,España) |
|
03/02/05, 18:14:52
| |
| ||||
 Holaaa  jePega otro log del HijackThis para poder ver como ha quedado tu sistema ok. Saludos |
|
03/02/05, 18:37:47
| |
| ||||
| Bueno aparte de pegar después otro log de HijackThis aca para ver como quedo primero aplícale "FIX Cheked" a las entradas que te mencione arriba. Este es un botón del HijackThis que tiene en la parte inferior izquierda que primero dice "Scan" y después que termina da aparecer todo el log se convierte en "FIX Cheked" Así que primero con el mouse marcas las entradas en el cuadradito que tienen en la izquierda y después que están todas marcadas apretas una vez el botón "FIX Cheked" se borran y te sale una opción para reinicia que le das aceptar. Pero el tema es que tu Pc esta bastante infectado y va a estar difícil que puedas sacar todo de una sola vez. Antes de usar el HijackThis tenes que cortar los procesos y para los que se resistan te descargas el programas llamado KillBox desde la firma y segui estos pasos. Cita:
Salu2 Ausente hasta el 15 de Oct. En viaje al EISI 2009 (Colombia) Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
« Tema Anterior
|
Próximo Tema »
| Herramientas | |
| |
Todas las horas son GMT -4. La hora es 04:43:55.
