Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, llevo tiempo mirando este foro, y he visto gente q tiene mi mismo problema pero no me salen las mismas cosas q ha ellos por lo q no se como arreglarlo

He intentado de todo, pasar adaware y spybot en modo a prueba de fallos, disk cleaner, luego en modo normal he pasado 2 antivirus, otra vez los programillos esos y nada.
He pasado el elistrata (o como se llame) y me detecto el vundo :s
Me baje el vundo remove (o como se llame xD) y me detecto varios .dll y despues de varios reinicios del pc ya no me salen, aunq no se si lo habra eliminado bien.

La cuestion es q los avisos del win antivirus me siguen saliendo, y no se ya q hacer

Aqui os pego mi log por si me podeis echar una mano, sois mi ultima esperanza xDD


Logfile of HijackThis v1.99.1
Scan saved at 12:54:08, on 10/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\r_server.exe
C:\Archivos de programa\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\Archivos de programa\CheckPoint\SecuRemote\bin\SR_GUI.exe
C:\Archivos de programa\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Google\Google Talk\googletalk.exe
C:\Archivos de programa\PLANET WL-8310\WLANPRO.exe
C:\Documents and Settings\Julio.CASA\Escritorio\hijack\HijackThis.e xe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PrevxOne] "C:\Archivos de programa\Prevx1\PXConsole.exe"
O4 - HKLM\..\RunOnce: [ReEXEc] F:\Guiller\Mis Documentos\Programas\Instaladores\EliStarA.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PLANET WL-8310 Configuration Utility.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158531725718
O17 - HKLM\System\CCS\Services\Tcpip\..\{5794B689-AC99-4396-BB40-7619A93A00D0}: NameServer = 212.145.159.141,212.145.4.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{617540BC-AFA9-4183-9E4E-2F761FB9864D}: NameServer = 212.145.159.141,212.145.4.98
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Archivos de programa\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Archivos de programa\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Archivos de programa\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

Hola!!!

Tu log no muestra nada.

Sigue estos pasos para "Eliminar Vundo".

Después nos comentas los resultados y nos dejas el reporte que te arroje VundoFix.

Saludos

voy a hacer eso q me dices

q raro q no salga nada, pq la ****** del win antivirus me sale todo el rato, cada vez q abro el explorer :(

P.D: ahora el elistar me sale todo el rato al encender el pc, es normal? como lo kito?

hace mucho tiempo que no uso el ElistarA, así que no se si es normal, prueba a darle Fix Checked a esta entrada:

O4 - HKLM\..\RunOnce: [ReEXEc] F:\Guiller\Mis Documentos\Programas\Instaladores\EliStarA.exe

Saludos

ya hice lo del vundo, y no se si ahora lo tengo o no, pq no se muy bien q hace xD

lo q me sigue saliendo es lo del winaintivirus ese de las narices

os copio un nuevo blog a ver si ahora sale algo:

Logfile of HijackThis v1.99.1
Scan saved at 13:07:19, on 11/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\r_server.exe
C:\Archivos de programa\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\CheckPoint\SecuRemote\bin\SR_GUI.exe
C:\Archivos de programa\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Google\Google Talk\googletalk.exe
C:\Archivos de programa\PLANET WL-8310\WLANPRO.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
C:\Documents and Settings\Julio.CASA\Escritorio\hijack\HijackThis.e xe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PLANET WL-8310 Configuration Utility.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1158531725718
O17 - HKLM\System\CCS\Services\Tcpip\..\{5794B689-AC99-4396-BB40-7619A93A00D0}: NameServer = 212.145.159.141,212.145.4.98
O17 - HKLM\System\CCS\Services\Tcpip\..\{617540BC-AFA9-4183-9E4E-2F761FB9864D}: NameServer = 212.145.159.141,212.145.4.98
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Archivos de programa\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Archivos de programa\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe


Saludos, y a ver q me recomendais

P.D: el log este hay q hacerlo con todo cerrado pero con el windows normal no?
o hay q sacarlo en el modo a prueba de fallos? yo lo hago desde el normal

Hola!!!

Tu log sigue sin mostrar nada.

¿dónde está el reporte de VundoFix?

Es importante realizar los pasos con todos los programas cerrados, sobre hacerlo en modo normal o en modo seguro, en principio es indiferente. Se puede probar con el modo seguro en caso de que no de resultados el modo normal.

Bueno, pues espero ese reporte de VundoFix.

Haz tambien un analisis con Kaspersky y Ewido Online y nos dejas aca los reportes que te generen, a ver si muestran algo.

Saludos

hola, se me olvido lo del vundo, perdona

me dijo q lo tenia en unos cuantos archivos, y puedo eliminar todos menos 2:

c:\windows\system32\jkklm.dll
c:\windows\system32\mlkkj.ini

y ahi siguen estando, no me deja borrarlos

Lo de los antivirus te lo digo mas tarde, q tardan mucho en scannear mi pc y no tengo tiempo ahora.

P.D: el vundo este q hace? :P
P.D2: despues de usar el reg cleaner y todas las historias estas, hoy no me ha salido el winantivirus pro de las narices, ya solo keda el vundo este ^^

Muchas gracias

Bueno, Vundo es un troyano que trata de introducir una adware en el sistema para que muestre ventanas (popups) publicitarias.

Elimina esos 2 archivos manualmente o con KillBox si no se dejan.

Saludos

el .ini si lo he podido borrar, pero el otro no

dice q esta en uso,y usando el killbox tampoco, si lo intento con la opcion de borrar al reiniciar me dice :"PendingFilenameRename Operations Registry Data has been removed by external process!"

Bueno, VundoFix debería sacar ese archivo sin problemas, así que vuelve a repetir los pasos para "Eliminar Vundo".

Luego Reinicia a prueba de fallos y ejecuta KillBox.

Selecciona la opción "Delete on reboot" y donde dice "Full path of file to delete" copia y pega:

Y pulsa el circulo rojo con aspa blanca. Cuando te pida reiniciar, acepta y nos comentas.

Saludos