Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, te dejo lo comentado por Jereque al respecto:

Como verás, lo que te está diciendo el Spybot, es que existe un proceso legítimo y uno que no, en el que varía el ejecutable.
Lo cual, no significa que tengas infección, solo es información al respecto, de lo contrario, te aparecería el renglón del proceso en color rojo

Respwecto a tus errores continuos, y viendo que los reportes están limpios, y que Hijackthis no muestra nada serio, me inclinaría por reparar el sistema como primer paso y hacer una limpieza de hardware (quitar memorias, video, red, audio y limpiarlas).

Si tienes el CD de windows, lo pones en la lectora te vas a Inicio->Ejecutar: sfc /scannow, enter.

Saludos

PD:

Hiciste ese paso que te indica Astareth?

Hola Salba

Muchas gracias por explicarme tan bien lo del Spybot. La verdad es que ya me estaba volviendo loca con este tema (seguramente a vosotros también). Lo que me tenía mosqueada es que pasando el CWShedder, una y otra vez, siempre salía que tenía el MSConfig. Hace un momento lo volví a a pasar y ya no lo detecta. Sin embargo, el Adware Away sigue detectando dos infecciones (ya empiezo a pensar que es para que compres el programa).

Sobre la limpieza que me recomiendas, hoy mismo la hago. ¿Lo que remarqué en negrita de tu mensaje, tengo que hacerlo yo o con meter el CD de Windows ya se hace solo? Es que no tengo ni idea de estas cosas y no quiero fastidiarla.


Pues la verdad es que no lo hice, porque al pasar de nuevo el antivirus online que lo detectó, determinó que estaba limpio. Así que me figuré que lo había eliminado con ese programa. Lo haré sin falta antes de realizar la limpieza del sistema (me llamó la atención que fuera el antivirus de COMPUTE ASSOCIATES el único que lo detectara).

Muchísimas gracias por la paciencia y amabilidad que habéis tenido conmigo. Un saludo muy cordial para todos.

Edito:

Estuve mirando en en Panel de control de la consola de Java, para seguir las instrucciones que dan en el enlace que me pusistéis para limpiar el virus de Java y no soy capaz de encontrar la opción de borrar la "Memoria caché".

Instrucciones que dan:

1. En el menú Inicio, seleccione Configuración > Panel de control.
2. En el Panel de control, abra el Panel de control de Java Plug-in.
3. Seleccione la ficha Memoria caché.
4. Haga clic en el botón Borrar memoria caché de la ficha Memoria caché; esta acción borrará el directorio de la memoria caché del JRE.

Yo sigo los pasos que mandan, pero no veo ninguna opción que ponga Java Plug-in. Está el icono de Java, que abre su panel de control. Por más que miro todas las opciones que trae, en ninguna veo la de Plug-in, ni la de borrar memoria caché. Si podéis decirme algo al respecto os quedaré muy agradecida.

Hola

Quería comentaros que hoy, después de haber escrito mi anterior mensaje, buscando información para tratar de quitar el virus de Java, al entrar entrar en una dirección, me salió una página publicitaria que no tenía nada que ver con lo que yo buscaba. Era casi toda blanca y con la publicidad en el medio. Nada más cerrarla, me salió otra más pequeña con la publicidad de un casino.
Comento que navego con Firefox y tengo instalado el SiteAdvisor, no entro en la primera página que me sale.

Como me olió bastante mal la cosa, volví a iniciar en Modo a prueba de fallos, pasé de nuevo el CWShedder y, de nuevo, detectó el MsConfig. A continuación pasé el AboutBuster, pero me ponía que había un error "339": components ICOMCTL32.OCX or one ofits dependencies not correctly registered: a file is missing or invalid. Me figuro que significa que falta alguna cosa, pero como no sé inglés no sé exactamente qué quiere decir.

A continuación pasé el Adware Away y vuelve a detectar 3 filas infectadas.

Os juro que ya estoy desesperada. No sé si esto es imposible de quitar o estas herramientas están pensadas para sacar infecciones donde no las hay. El caso es que no me fio de que el pc esté limpio. Por lo visto no me quedará más remedio que formatear

Saludos y gracias de nuevo.

Hola :

Vacía manualmente el cache de java de esta manera:

Estas son las instrucciones que debes de seguir:

Apaga restaurar el sistema

Entra en modo seguro al sistema

Y elimina todo el contenido de esta carpeta con Killbox(con la opción Delete on reboot)

C:\Documents and Settings\user\Datos de programa\Sun\Java\Deployment\cache


Se reiniciara el sistema después limpia los temporales del sistema , Internet y cookies con disk cleaner , limpia el registro de Windows con RegSeeker.

No te fies de la entrada que te detecto CWShedder , es un falso positivo , lo vas a encontrar cada vez que entres en modo seguro.

No conozco ese programa , pero si lo estas usando en una versión de prueba y no puede eliminar lo que detecta entonces es posible que te este detectando Falsos positivos para que lo compres .

Es mejor que como antispyware tengas algún programa confiable como Ad-Aware , Spybot , Spy Sweeper o Avg Antispyware

Tranquila , es muy seguro que tu PC no tenga nada , el virus de java puede desplegar pop up entonces una vez eliminado el cache de Java , pasa Panda y pega aquí su reporte .

Salu2

Hola

Perdonad que haya tardado tanto en responder, pero en todo el día de ayer tuve avería en la conexión a internet y no pude hacerlo.

Seguí las instrucciones recomendadas por Astareth. Comentar que en el scan de Panda volvió a pasarme lo mismo (en cuanto detecta infección sale la ventana que os mencioné, paralizándose inmediatamente el escaneo; si bien está vez me permitió acceder a los informes, pero estando el escaneo por la mitad). Hasta donde llegó había detectado un "spyware" y una "fila sospechosa".

Este es el resultado (hay que tener en cuenta que tal vez haya más cosas, pero como no me permite finalizarlo no puedo saberlo).


C:\Documents and Settings\user\Cookies\user@www.ademails[2].txt


Incidencia Elemento Estado

Spyware: Cookie/ademails No desinfectado



C:\WINDOWS\system32\pmkhh.exe

Incidencia Elemento Estado

Fila sospechosa Posible Virus No desinfectado


Comentar también que ayer el Spybot detectó, de nuevo entre los programas que se iniciaron con el sistema, uno que estaba activo, cuya descripción era KH_LM:Run, el resto de la fila completamente en blanco. En el analísis que hacía el Spybot solamente había una descripción, con lo cual no podía darse el caso que comentaba Salva, en la explicación que aportó sobre la utilización del modo avanzado del Spybot. La descripción ponía que era un programa añadido por el gusano AGOBOT-KU. Como nota añadía: "Tiene una entrada en blanco bajo el campo de Art. nombre de arranque". No copié la ficha completa, porque me puse tan nerviosa que, al abrir el traductor para saber qué ponía, sin darme cuenta cerré el Spybot y reinicié en "Modo seguro" para volver a comprobarlo pero, al volver a abrir el Spybot, el programa que os menciono ya no aparecía.

Desde luego, todo lo que está pasando me parece extrañísimo

Saludos y muchas gracias de nuevo

P.D.:
También quería preguntaros si sabéis cómo puedo solucionar el error que sale con AboutBuster: "339": components ICOMCTL32.OCX or one ofits dependencies not correctly registered: a file is missing or invalid.

Hola:

Encontré poca información sobre este archivo , pero lo que me llama la atención es que esta presente en casos de Malware.Vundo

Ya que sigues con problemas vamos a descartar esa amenaza.

Descarga VundoFix y ejecutalo :

Algunas de las nuevas variantes del Malware.Vundo son mas dificiles de detectar con HijackThis así que realiza esto:

Ve a la carpeta donde esta instalado el HijackThis.exe en:


C:\Archivos de programa\HijackThis\HijackThis.exe

y cámbiale el nombre al .exe por "analyse.exe"

y con todos los programas cerrados generas un nuevo reporte y lo pegas aquí.

Salu2

Hola

He mirado en la carpeta de HijackThis, pero el nombre de la misma no contiene "exe". Solamente pone "HijackThis". Con la flecha del ratón sobre ella sí pone que el archivo que contiene se llama "HijackThis.exe". De todas formas, he intentado cambiar el nombre a la carpeta, pero sale el siguiente mensaje: "Si se cambia el nombre, se mueve o se elimina "HijackThis", algunos programas pueden dejar de funcionar ¿Está seguro de que desea hacerlo?. Como no sabía qué hacer, preferí preguntaros antes a vosotros. Mientras espero vuestra respuesta, voy a ejecutar el Vundo.Fix.

Os comento que, mientras escribía este mensaje, continuamente deja de responder el teclado, se paraliza completamente el cursor del ratón, me sale un recuadrito en blanco en lugar del logotipo del Firefox, deja de aparecer en la barra de tareas el icono del Firefox abierto, desaparece la ventana de respuesta del foro (donde escribimos los mensajes) y vuelve a aparecer a los pocos instantes, pero tardando algo, como cuando cargas una página nueva. Son cosas muy extrañas de las que, hasta hoy, la única que me había pasado es la del recuadrito en blanco.

Saludos

Eso es porque no tienes habilitada la opción de mostrar las extensiones de archivos conocidos.
Cambia el nombre sin dramas, esa advertencia siempre aparece, incluso cuando cambias el nombre a otros archivos.

Hola

Aquí os dejo el log del HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 2:00:13, on 05/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\HijackThis\HijackThisAnalise.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (disabled by BHODemon)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (disabled by BHODemon)
O2 - BHO: (no name) - {D84BE649-FD34-4942-8250-66A4F13F5A61} - (disabled by BHODemon)
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.exe"
O4 - HKLM\..\Run: [aol] "C:\Archivos de programa\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] "C:\Archivos de programa\eMule\emule.exe" -AutoStart
O4 - Startup: Metacafe.lnk = C:\Archivos de programa\Metacafe\MetacafeAgent.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Metacafe.lnk = C:\Archivos de programa\Metacafe\MetacafeAgent.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by118fd.bay118.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4907/mcfscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\4608\SiteAdv.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Archivos de programa\AOL\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: SiteAdvisor Service - Unknown owner - C:\Archivos de programa\SiteAdvisor\4608\SAService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Os comento que, tras reiniciar después de ejecutarlo en "Modo seguro", me salió un aviso de informe de error (últimamente me sale con cierta frecuencia), con el siguiente mensaje:

ATI External Event Utility Exte Module ha detectado un problema y debe cerrarse. Informe a Microsoft de este problema. El error era el siguiente:

szAppName:ati2evxx.exe szAppVer:6.14.10.4118 szModName:ntdll.dll szModVer:5.1.2600.2180 offset :00010f29

Espero que sepáis a qué se refiere.

También quería preguntaros si sabéis cómo puedo solucionar el error que sale con AboutBuster: "339": components ICOMCTL32.OCX or one ofits dependencies not correctly registered: a file is missing or invalid.

Gracias por vuestras respuestas. Saludos

Hola MAE:

El problema es que mientras no le quites el nombre de HijackThis al programa , si tienes una variante nueva de Vundo será indetectable
Le dejaste el nombre y bueno me queda una pregunta por hacerte:

Tu instalaste este programa?

Active Virus Shield

Sube este archivo a Virus Total y pega aquí su reporte

Si quieres vuelve a ponerle su nombre original a HijackThis.


Descarga RunAlyzer , instalalo y ejecutalo.

En la pestaña de Logs , da click sobre "Create HJT log" copialo y pegalo aquí .
Ese es un problema con tu targeta de Video .

El problema con About Buster es que el archivo ICOMCTL32.OCX te falta o no está registrado.

Verifica que sea ese el nombre del archivo ya que su nombre deberia ser Comctl32.ocx .Comentanos si este es el nombre correcto.

Salu2