ultimamente noto cosas raras...ayuda porfavor....

-se me engancha mas de lo normal

-cuando entro en modo a prueba de fallos, panda se pone rojo y me dice proteger archivos sospechosos....

-spybot,lo corro y no me encuentra nada,pero cuando inmunizo me sale tres adiciional que no consigo quitar...

-me he encontrado el registro mas abierto de lo normal y no recuerdo haber hecho muchas instalaciones...2

-ultimamente me funciona muy lento en las paginas de infospyware las fotos me tardan en salir,esto no me pasa en todas las paginas,esta maquina no me funcionaba asi...

-bueno dejo de mi log de HijackThis,pues creo que estoy infectado,por favor si me podeis analizar el log,tengo que tener algo...no se el que..

Logfile of HijackThis v1.99.1
Scan saved at 17:41:51, on 06/07/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2004\APVXDWIN.EXE
C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA TITANIUM ANTIVIRUS 2004\WEBPROXY.EXE
C:\WINDOWS\ESCRITORIO\HERRAMIENTAS\H.J.T\HIJACKTHI S.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIVOS DE PROGRAMA\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /waitservice
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [PSIMSVC] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PSIMSVC.exe"
O4 - HKLM\..\RunServices: [PavProc] "C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\PavPrS9x.exe"
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\ARCHIVOS DE PROGRAMA\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /service
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TeaTimer.exe
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\MESSENGER\YPAGER.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.188.180,195.225.176.31

-bueno no me canso de de agradeceros vuestras ayudas y asi agradeceros nuevamente.....

saludos al foro...

Hola charly7674, bueno en tu log no aparece nada extraño por lo que no podemos hacer mucho con HijackThis.

Pasale Panda Antivirus pero Online a ver si encuentra algo y nos pones el reporte, tambien vamos a probar con un rastreador de malware llamado MWAV.exe . Esta herramienta no elimina en su versión gratuita pero genera un log donde te dirá los archivos infectados. Este log es muy largo por lo que te pido que sólo copies los archivos reconocidos como infectados.

Salu2

hola piedra,un saludo,bueno analize con....

-PANDA......nada

-TREND MICRO....nada

-RAV...me encontro este... ( CHMRedir.chm HTML.Bloon.B infected C:\WINDOWS\HELP\ )de manera que tanbien lo analize con virustotal y NORTON.ETC...me dio positivo y otros no...devo de eliminarlo?

CHMRedir

Archivo de ayuda HTML compilado

ubicacion- C:\WINDOWS\HELP

creado- lunes, 14 de febrero de 2005 10:23:45

modificado- martes, 08 de marzo de 2005 2:31:50

con acceso- jueves, 07 de julio de 2005



MWAV....6 virus,no se si me puedo haber equivocado en alguno,pues no entiendo bien el programa....

---Thu Jul 07 16:57:33 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!

---Thu Jul 07 16:57:33 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.


--Thu Jul 07 16:57:42 2005 => System found infected with iSearch Spyware/Adware (patch.exe)! Action taken: No Action Taken.

--Thu Jul 07 16:57:42 2005 => Object "iSearch Spyware/Adware" found in File System! Action Taken: No Action Taken.

--Thu Jul 07 16:59:51 2005 => File C:\WINDOWS\SYSTEM\hmod32.exe infected by "Trojan-Downloader.Win32.Agent.io" Virus! Action Taken: No Action Taken.

--Thu Jul 07 17:00:04 2005 => File C:\WINDOWS\SYSTEM\mxbkup.exe infected by "Trojan.Win32.SpoofDNS.a" Virus! Action Taken: No Action Taken.


bueno,pues aqui dejo el pots tal y como me pediste,pues espero no haberme equivocado,de nuevo 1000 gracias por tus ayudas...

un saludo Piedra y perdona mi retraso pues es largoo,largooo el pots.. :eek:

salu2

Hola

Puedes eliminar el CHMRedir.chm.

Busca también este archivo: balloon.wav y si lo ves, lo eliminas.

Sigue las indicaciones de esta página para reparar cualquier daño que pudieras tener en el sistema acausa de este virus.

Sobre el altnet, puedes seguir las indicaciones de esta página, no hace falta que descargues nada, solo que hagas las reparaciones manuales.

Para el iSearch, puedes seguir las recomendaciones de esta página.

Sobre el Trojan-Downloader.Win32.Agent.io puedes seguir las indicaciones de esta página. Lo que tienes es otra variante, pero se comportan bastante parecido unas y otras.

Sobre el Trojan.Win32.SpoofDNS.a, basta con que borres el archivo mencionado.

Luego nos cuentas como va el tema.

Felicidad

-Hola Patomas,he intentado hacer todo lo que me pides,pero creo que es muy conplicado para mi,tengo el ordenador hace 6 meses y se muy poquito,no se si es mas facil formatear o linpiar,pues para mi las dos cosas son muy conplicadas,por favor me podias ayudar paso a paso,1000 gracias por las veces que me has ayudado....

-bueno demomento quite....

-%Windir%\Help\CHMRedir.chm

-%Windir%\balloon.wav

--ELIMINADO-Thu Jul 07 17:00:04 2005 => File C:\WINDOWS\SYSTEM\mxbkup.exe infected by "Trojan.Win32.SpoofDNS.a" Virus! Action Taken: No Action Taken.-----ELIMINADO


-no entiendo la mayoria de cosas que me pone en ingles,tengo instalar el symantec?para reparar el sistema que me daño el virus....

-perdona pero no entiendo muchas cosas y por lo que ha leido el altnet,es muy conplicado de quitar,me podias expecificar un poco mas...

un saludo

Hola, vamos a hacerlo mas facil ya que el log de MWAV no esta mostrando todos los archivos.

Descargate, actualiza y pasale el programa EWIDO y luego le haces un escaneo con Panda Antivirus Online y nos pegas los dos reportes aca.

Salu2

-hola piedra,un saludo,bueno descarge el EWIDO pero no me funciona por que el problema lo tengo en mi windows 98,1000 gracias por el intento...como contaba me sige siendo muy conplicado la ultima resolucion..si sabeis de alguna otra forma,si no estoy perdido......

un saludo

-hola piedra,un saludo,bueno tal y como puse en el pots anterior,descarge el ewido,pero cuando fuy a ejecutar me salio un cartel (windows2000 y xp)y no pude ejecutarlo.yo tengo windows98...

-he mirado por hay pots de vuestra pagina y he mirado como quitar el altnet,pero no me atrevo hacerlo..

por favor me podeis ayudar a quitar el antlet,que puedo hacer?

un saludo

Hola, pone el informe del Panda Online y uno nuevo de Mvaw a ver que mas hay que sacar.

Salu2

-hola piedra,perdona mi retraso,bueno tal y como me pediste te dejo los dos logs,ahora me marca que tengo un virus menos,pues elimine el archivo (CHMRedir.chm.)y sus derivados,tambien lo que me pidio patomaS,pero no todo pues hay cosas que no sabia....

-este es el analisis de panda...

Sistema Archivos Mensajes

Analizados Si 44993 22
Infectados - 0 0
Sospechosos - 0 0
Desinfectados - 0 0

-este es el virus log information de MWAV

virus log informacion

-file.C:\windows\windows\escritorio\descargas\nueva carpeta\outpostinstall.exe tagged as not-a-virus:tool.win.32.reboot.no action taken

-file.C:\wnidows\escritorio\programas\outpost\outpo stinstall.exe lagged as not-a-virus:tool.win32 reboot.no action taken.

-object"ALTNET spyware\adware"foun in file system action taken:no action taken

-object"search spyware\adware"foun in file system\action taken:no action taken

-Entry"HKLM\software\microsoft\windows\CurrentVersi on\ModuleUsage"refers to invalid object"C:\windows\downloaded Program Files\installer ocx".action taken:no action taken

-Entry"HKLM\Software\Microsoft\Windows\CurrentVersi on\SharedDlls"refers to invalid object"D:\OFFICE97\Office\Actors\logo.act".Action Taken: No Action Taken.

-Entry"HKLM\Software\Microsoft\Windows\CurrentVersi on\SharedDlls"refers to invalid object"D.\OFFICE97\Office\Actors\scribble.act".Act ion Taken: NoAction Taken.

-Entry\HKLM\Software\Microsoft\Windows\CurrentVersi on\SharedDlls"refers to invalid object"D.\OFFICE97\Office\Actors\dot.act".Action Taken: No Action Taken.

-Entry\HKLM\Software\Microsoft\Windows\CurrentVersi on\SharedDlls"refers to invalid object"D.\OFFICE97\Office\Actors\mnature.act".Acti on Taken: NoAction Taken.

-Entry\HKLM\Software\Microsoft\Windows\CurrentVersi on\SharedDlls"refers to invalid object"D.\OFFICE97\Office\Actors\hoberbot.act".Act ion Taken:
NoAction Taken.

-Entry\HKLM\Software\Microsoft\Windows\CurrentVersi on\SharedDlls"refers to invalid object"D.\OFFICE97\Office\Actors\will.act".Action Taken:
NoAction Taken.


-Entry\HKLM\Software\Microsoft\Windows\CurrentVersi on\SharedDlls"refers to invalid object"D.\OFFICE97\Office\Actors\powerpup.act".Act ion Taken:
NoAction Taken.


-Entry\HKLM\Software\Microsoft\Windows\CurrentVersi on\SharedDlls"refers to invalid object"D.\OFFICE97\Office\Actors\genius.act".Actio n Taken:
NoAction Taken.

-Entry\HKCR\CLSID\(BO693766-5278-4ec6-B9E1-3CE4O56OEF5A)"refers to invalid object"CaPlgin.ax".Action Taken:NoAction Taken.

-File C:\WINDOWS\SYSTEM\hmod32.exe infected by "Trojan-Downloader.Win32.Agent.io"Virus!Action Taken:NoAction Taken.



-estos son los virus que tengo y elimine....

---Thu Jul 07 16:57:33 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!

---Thu Jul 07 16:57:33 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.


--Thu Jul 07 16:57:42 2005 => System found infected with iSearch Spyware/Adware (patch.exe)! Action taken: No Action Taken.

--Thu Jul 07 16:57:42 2005 => Object "iSearch Spyware/Adware" found in File System! Action Taken: No Action Taken.

--Thu Jul 07 16:59:51 2005 => File C:\WINDOWS\SYSTEM\hmod32.exe infected by "Trojan-Downloader.Win32.Agent.io" Virus! Action Taken: No Action Taken.

-ELIMINADO-Thu Jul 07 17:00:04 2005 => File C:\WINDOWS\SYSTEM\mxbkup.exe infected by "Trojan.Win32.SpoofDNS.a" Virus! Action Taken: No Action Taken.-----ELIMINADO

-bueno un saludo y no me canso de daros las gracias por vuestras ayudas y atenciones,1000 gracias de nuevo.....en espera de vuestras resoluciones...

saludos cordiales.....charly7674