• Registrarse
  • Iniciar sesión


  • Resultados 1 al 8 de 8

    Virus resistente

    Resumen del tema: Virus resistente - Hola soy nuevo por aqui, espero que me podais ayudar por que ya no se donde acudir ni que hacer.Se me abre una pagina en chino, me pregunta si me quiero conectar a internet sin ...

      
    1. #1
      Usuario Avatar de felixve
      Registrado
      abr 2007
      Ubicación
      españa
      Mensajes
      12

      Virus resistente

      Hola soy nuevo por aqui, espero que me podais ayudar por que ya no se donde acudir ni que hacer.Se me abre una pagina en chino, me pregunta si me quiero conectar a internet sin motivo, se abre el internet explorer sin aviso, me cambia la pagina prederteminada, ya no se que hacer.Aveces arranco el pc en modo de fallos y se bloquea.
      He pasado en modo de fallos:
      Spybot he borrado bastantes archivos y con Ad-Aware lo mismo. Al arrancar el pc normal, en favoritos sigue una pagina sospechosa que borro y vuelve a salir cada vez que inicio. Ahora he vuelto a pasar Ad-Aware y me sigue encontrando un objeto critico que elimino y vuelve a salir

      HKEY_LOCAL_MACHINE:Software\Microsoft\Windows nt\Current Version\Winlogon "Shell" (Explorer.exe Realsled.exe)

      Con Hijackthis esto es lo que me sale a ver si me lo podeis mirar
      Logfile of HijackThis v1.99.1
      Scan saved at 18:19:25, on 01/04/2007
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\SYSTEM32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.exe
      P:\programas\hijackthis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.182.88/?qq=
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.182.88/?qq=
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.182.88/?qq=
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.50.182.88/?qq=
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://69.50.182.88/?qq=
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - Default URLSearchHook is missing
      F2 - REG:system.ini: Shell=Explorer.exe realsled.exe
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Archivos de programa\Archivos comunes\CPUSH\cpush.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: MagicBHO Class - {AC212FB9-3883-461E-A559-37A4F6100FB0} - C:\WINDOWS\system32\iacad.dll (file missing)
      O2 - BHO: MyFavor Web - {F7F49040-389C-4f1f-A825-06D5328EAE59} - C:\WINDOWS\System32\MyFavor.dll
      O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
      O4 - HKLM\..\Run: [Anvshell] anvshell.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb1 0.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe
      O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
      O4 - HKLM\..\Run: [WinampAgent] f:\Archivos de programa\Winamp\winampa.exe
      O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
      O4 - HKLM\..\Run: [LiveNote] livenote.exe
      O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
      O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
      O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "F:\archivos de programa\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKLM\..\Run: [vgoidg52] %systemroot%\system32\Rundll32.exe "%systemroot%\system32\vgoidg52.dll",Start
      O4 - HKLM\..\Run: [hqzvmv52] %systemroot%\system32\Rundll32.exe "%systemroot%\system32\hqzvmv52.dll",Start
      O4 - HKLM\..\RunOnce: [tghrr] %systemroot%\system32\Rundll32.exe %systemroot%\system32\tghrr.dll,DllUnregisterServe r
      O4 - HKLM\..\RunOnce: [jwmpxj80] %systemroot%\system32\Rundll32.exe %systemroot%\system32\jwmpxj80.dll,DllUnregisterSe rver
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
      O4 - HKCU\..\Run: [InstantTray] C:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
      O4 - HKCU\..\Run: [IW_Drop_Icon] F:\Archivos de programa\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Consola KIT ADSL.lnk = ?
      O4 - Global Startup: Image Transfer.lnk = ?
      O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = F:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
      O4 - Global Startup: QuickTV.lnk = F:\Archivos de programa\QuickTV.exe
      O8 - Extra context menu item: E&xportar a Microsoft Excel - res://F:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
      O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
      O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://C: oo.mht!http://www.drunk-sex-orgy.com/mad/bighel p2.chm::/uninst.exe
      O16 - DPF: {33331111-1111-1111-1111-611111193423} -
      O16 - DPF: {33331111-1111-1111-1111-611111193429} -
      O16 - DPF: {33331111-1111-1111-1111-615111193427} -
      O16 - DPF: {33331111-1131-1111-1111-611111193428} -
      O16 - DPF: {43331111-1111-1111-1111-611111195622} -
      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
      O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
      O20 - AppInit_DLLs: PAVWAIT.DLL
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - f:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - f:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - f:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - f:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: Microsoft Update Service (BARCASE) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE (file missing)
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
      O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
      O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: SCA (Service Control Application) - Unknown owner - C:\WINDOWS\System32\SYSTEM.EXE (file missing)
      O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

      Tambien he probado:
      Prevx1 y ha eliminado bastantes pero con este no puede:
      C:\WINDOWS\SYSTEM32\TGHRR.DLL
      lo identifica pero no lo elimina.
      Gracias por vuestro tiempo. Espero vuestra ayuda.

    2. #2
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      23.115

      Re: Virus resistente

      Hola te doy la bienvenida al foro, recuerda activar las actualizaciones automáticas de Windows para tener tu sistema operativo actualizado y a la vez que obtendrás mas seguridad.

      1.- Apaga el "Restaurar Sistema"

      2.- Activa la opción Ver Archivos Ocultos

      3.- Reinicia en Modo Seguro

      4.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

      R3 - Default URLSearchHook is missing

      F2 - REG:system.ini: Shell=Explorer.exe realsled.exe

      O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Archivos de programa\Archivos comunes\CPUSH\cpush.dll

      O2 - BHO: MagicBHO Class - {AC212FB9-3883-461E-A559-37A4F6100FB0} - C:\WINDOWS\system32\iacad.dll (file missing)

      O2 - BHO: MyFavor Web - {F7F49040-389C-4f1f-A825-06D5328EAE59} - C:\WINDOWS\System32\MyFavor.dll

      O4 - HKLM\..\Run: [vgoidg52] %systemroot%\system32\Rundll32.exe "%systemroot%\system32\vgoidg52.dll",Start

      O4 - HKLM\..\Run: [hqzvmv52] %systemroot%\system32\Rundll32.exe "%systemroot%\system32\hqzvmv52.dll",Start

      O4 - HKLM\..\RunOnce: [tghrr] %systemroot%\system32\Rundll32.exe %systemroot%\system32\tghrr.dll,DllUnregisterServe r

      O4 - HKLM\..\RunOnce: [jwmpxj80] %systemroot%\system32\Rundll32.exe %systemroot%\system32\jwmpxj80.dll,DllUnregisterSe rver

      O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://C: oo.mht!http://www.drunk-sex-orgy.com/mad/bighel p2.chm::/uninst.exe

      O16 - DPF: {33331111-1111-1111-1111-611111193423} -

      O16 - DPF: {33331111-1111-1111-1111-611111193429} -

      O16 - DPF: {33331111-1111-1111-1111-615111193427} -

      O16 - DPF: {33331111-1131-1111-1111-611111193428} -

      O16 - DPF: {43331111-1111-1111-1111-611111195622} -

      O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

      O23 - Service: Microsoft Update Service (BARCASE) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE (file missing)

      O23 - Service: SCA (Service Control Application) - Unknown owner - C:\WINDOWS\System32\SYSTEM.EXE (file missing)

      5.- Sin reiniciar, busca y elimina estos archivos, si aún los encuentras. Si no se dejan eliminar descarga el programa FileASSASIN y sigue las indicaciones del mensaje, para eliminar estos archivos:

      realsled.exe

      C:\Archivos de programa\Archivos comunes\CPUSH\<-- Elimina la carpeta y todo su contenido

      C:\WINDOWS\system32\iacad.dll

      C:\WINDOWS\System32\MyFavor.dll

      C:\WINDOWS\SYSTEM32\vgoidg52.dll

      C:\WINDOWS\system32\hqzvmv52.dll

      C:\WINDOWS\system32\tghrr.dll

      C:\WINDOWS\system32\jwmpxj80.dll

      c:\eied_s7.cab

      6.- Pasa el Disk Cleaner para limpiar cookies y temporales

      7.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta que no quede nada para eliminar.

      8.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

      9.- Reinicia la máquina y realiza un escaneo con Ewido Online, luego pega otro log de Hijackthis y nos cuentas como te fue.

      10.- Deshaz los pasos 1 y 2.

      De preferencia imprime las indicaciones para que se te haga mas fácil seguirlas.

      Saludos

    3. #3
      Usuario Avatar de felixve
      Registrado
      abr 2007
      Ubicación
      españa
      Mensajes
      12

      Re: Virus resistente

      He seguido todos los pasos que me has dicho y este archivo no hay manera de quitarlo:
      C:WINDOWS\system 32\tghrr.dll
      Paso el Prevx 1, lo encuentra pero no me lo quita y continuamente lo detecta me dice que lo limpie, se reinicia el equipo y lo vuelve a encontrar y asi continuamente, hasta que suprimo la limpieza.
      A mano tampoco puedo porque me dice que este archivo esta en uso. Todo lo demas parece que va bien de momento, escepto que me sale sin motivo la pregunta de si me quiero conectar a internet.Si dejo el pc encendido sin usar ,se va abriendo esa pregunta.
      El log en este momento es:
      Logfile of HijackThis v1.99.1
      Scan saved at 15:46:58, on 08/04/2007
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Unable to get Internet Explorer version!

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\SYSTEM32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
      C:\WINDOWS\anvshell.exe
      C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
      C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe
      C:\WINDOWS\System32\rmctrl.exe
      F:\Archivos de programa\Winamp\winampa.exe
      C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
      C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
      F:\archivos de programa\qttask.exe
      C:\Archivos de programa\Prevx1\PXConsole.exe
      F:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      f:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\WINDOWS\System32\RUNDLL32.EXE
      C:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
      F:\Archivos de programa\InstantCDDVD\InstantWrite\iwctrl.exe
      f:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
      C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe
      F:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
      f:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Archivos de programa\Prevx1\PXAgent.exe
      C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
      C:\WINDOWS\System32\svchost.exe
      f:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
      f:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
      P:\programas\hijackthis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      F2 - REG:system.ini: Shell=
      O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\ARCHIV~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Datos de programa\Prevx\pxbho.dll
      O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
      O4 - HKLM\..\Run: [Anvshell] anvshell.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe
      O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
      O4 - HKLM\..\Run: [WinampAgent] f:\Archivos de programa\Winamp\winampa.exe
      O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
      O4 - HKLM\..\Run: [LiveNote] livenote.exe
      O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
      O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "F:\archivos de programa\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKLM\..\Run: [PrevxOne] "C:\Archivos de programa\Prevx1\PXConsole.exe"
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "f:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
      O4 - HKCU\..\Run: [InstantTray] C:\Archivos de programa\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
      O4 - HKCU\..\Run: [IW_Drop_Icon] F:\Archivos de programa\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Consola KIT ADSL.lnk = ?
      O4 - Global Startup: Image Transfer.lnk = ?
      O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = F:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xportar a Microsoft Excel - res://F:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
      O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
      O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
      O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - f:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - f:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - f:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - f:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - f:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Microsoft Update Service (BARCASE) - GRISOFT, s.r.o. - (no file)
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
      O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
      O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Archivos de programa\Prevx1\PXAgent.exe" -f (file missing)
      O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

      Gracias por tu gran ayuda, espero tu consejo.

    4. #4
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      23.115

      Re: Virus resistente

      El log está limpio, salvo algunas entradas innecesarias que puedes reparar con Hijackthis.

      - Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

      F2 - REG:system.ini: Shell=

      O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

      O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

      O23 - Service: Microsoft Update Service (BARCASE) - GRISOFT, s.r.o. - (no file)

      Por lo demás el log está limpio.

      Si el archivo tghrr.dll aún no se deja eliminar hagamos lo siguiente:

      - Presiona el botón Inicio-->Ejecutar, escribe regsvr32 /u tghrr.dll luego busca y elimina ese archivo, si aún no se deja eliminar utiliza el programa FileASSASIN

      Recuerda que este paso es preferible hacerlo en Modo Seguro

      Seguimos pendientes.

      Saludos

    5. #5
      Usuario Avatar de felixve
      Registrado
      abr 2007
      Ubicación
      españa
      Mensajes
      12

      Re: Virus resistente

      Imposible eliminar con Hijackthis :
      O23 - Service: Microsoft Update Service (BARCASE) - GRISOFT, s.r.o. - (no file)
      Y este archivo no hay manera,
      C:WINDOWS\system 32\tghrr.dll
      Lo detectan Prexv 1, Fileassassin, y Anti-Spyware pero ninguno es capaz de acabar con el. Ni manualmente en modo seguro, ni nada de nada.
      Espero tu ayuda, Gracias.

    6. #6
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      23.115

      Re: Virus resistente

      Descarga y ejecuta la herramienta ComboFix y pega su reporte para analizarlo.

      Saludos

    7. #7
      Usuario Avatar de felixve
      Registrado
      abr 2007
      Ubicación
      españa
      Mensajes
      12

      Re: Virus resistente

      El enlace no funciona pero me lo he bajado de otro y este es el resultado. Saludos y gracias, Espero que me digas algo.
      "FELIX" - 07-04-17 22:52:28 Service Pack 1
      ComboFix 07-04-05 - Running from: "P:\programas"


      (((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


      C:\WINDOWS\system32\winijc37.bin
      C:\WINDOWS\system32\winimx20.bin
      C:\WINDOWS\system32\winvmv52.bin
      C:\WINDOWS\system32\Msf3sf.sys
      C:\312.exe
      C:\WINDOWS\system32\720F9C04.dat
      C:\WINDOWS\system32\wbem\npakf.dll
      C:\WINDOWS\system32\abnlc.dll
      C:\WINDOWS\system32\drivers\hjyijc37.sys
      C:\WINDOWS\system32\mdserivces\services\reg.exe
      C:\Archivos de programa\Archivos comunes\Ruango\Tmp9.tmp
      C:\WINDOWS\system32\igsrwn20\igsrwn20.dll
      C:\WINDOWS\system32\igsrwn20\winrwn20.bin
      C:\DOCUME~1\ALLUSE~1\PLANTI~1.\temp.exe
      C:\WINDOWS\system32\advport.dll
      C:\WINDOWS\system32\drivers\msqmx.sys
      C:\WINDOWS\system32\mprmsgse.axz
      C:\WINDOWS\system32\mscpx32r.det
      C:\WINDOWS\system32\scia.dll
      C:\WINDOWS\system32\score.txt
      C:\WINDOWS\system32\wbem\ocmor.dll
      C:\WINDOWS\f2.exe
      C:\WINDOWS\system32\1010s.exe
      C:\WINDOWS\system32\msrundll.exe
      C:\WINDOWS\system32\ntdl1.dll
      C:\WINDOWS\system32\drivers\realsled.drv
      C:\WINDOWS\system32\drivers\ntdl1.drv
      C:\WINDOWS\system32\ims.ini
      C:\DOCUME~1\ALLUSE~1\DATOSD~1\td
      C:\Archivos de programa\Archivos comunes\wanso
      C:\Archivos de programa\superutilbar
      C:\WINDOWS\system32\mdserivces
      C:\WINDOWS\system32\winup
      C:\Archivos de programa\Archivos comunes\Ruango
      C:\WINDOWS\system32\igsrwn20
      C:\WINDOWS\system32\hjyijc37.dll
      C:\WINDOWS\system32\winimx20.dll
      C:\WINDOWS\system32\drivers\jwmpxj80.sys
      C:\WINDOWS\system32\drivers\noyki.sys
      C:\WINDOWS\system32\tghrr.dll


      ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


      -------\cdnprot
      -------\fkwld
      -------\hjyijc37
      -------\jwmpxj80
      -------\msqmx
      -------\nm
      -------\noyki
      -------\LEGACY_ACPIDISK
      -------\LEGACY_FKWLD
      -------\LEGACY_HJYIJC37
      -------\LEGACY_JWMPXJ80
      -------\LEGACY_MSQMX
      -------\LEGACY_NOYKI


      ((((((((((((((((((((((((((((((( Files Created from 2007-03-17 to 2007-04-17 ))))))))))))))))))))))))))))))))))


      2007-04-16 16:06 <DIR> d-------- C:\DOCUME~1\FELIX\DATOSD~1\Talkback
      2007-04-16 15:18 212 --a------ C:\WINDOWS\system32\odffei98\winfei98.bin
      2007-04-16 15:18 <DIR> d-------- C:\WINDOWS\system32\odffei98
      2007-04-14 20:51 1,184 --a------ C:\WINDOWS\mozver.dat
      2007-04-14 20:23 34,304 --a------ C:\WINDOWS\ieuninst.exe
      2007-04-14 20:14 0 --a------ C:\WINDOWS\nsreg.dat
      2007-04-14 00:58 86,016 -ra------ C:\WINDOWS\system32\nvwrszht.dll
      2007-04-14 00:58 86,016 -ra------ C:\WINDOWS\system32\nvwrszhc.dll
      2007-04-14 00:58 262,144 -ra------ C:\WINDOWS\system32\nvrstr.dll
      2007-04-14 00:58 262,144 -ra------ C:\WINDOWS\system32\nvrsru.dll
      2007-04-14 00:58 258,048 -ra------ C:\WINDOWS\system32\nvrssv.dll
      2007-04-14 00:58 253,952 -ra------ C:\WINDOWS\system32\nvrssl.dll
      2007-04-14 00:58 245,760 -ra------ C:\WINDOWS\system32\nvrssk.dll
      2007-04-14 00:58 217,088 -ra------ C:\WINDOWS\system32\nvrszht.dll
      2007-04-14 00:58 217,088 -ra------ C:\WINDOWS\system32\nvrszhc.dll
      2007-04-14 00:58 176,128 -ra------ C:\WINDOWS\system32\nvwrsru.dll
      2007-04-14 00:58 167,936 -ra------ C:\WINDOWS\system32\nvwrssk.dll
      2007-04-14 00:58 163,840 -ra------ C:\WINDOWS\system32\nvwrstr.dll
      2007-04-14 00:58 159,744 -ra------ C:\WINDOWS\system32\nvwrssv.dll
      2007-04-14 00:58 155,648 -ra------ C:\WINDOWS\system32\nvwrssl.dll
      2007-04-14 00:57 844,512 -ra------ C:\WINDOWS\system32\nv4_disp.dll
      2007-04-14 00:57 835,654 -ra------ C:\WINDOWS\system32\nview.dll
      2007-04-14 00:57 8,703 -ra------ C:\WINDOWS\eio.sys
      2007-04-14 00:57 798,720 -ra------ C:\WINDOWS\system32\anvctrl.dll
      2007-04-14 00:57 69,632 -ra------ C:\WINDOWS\system32\nvsvc32.exe
      2007-04-14 00:57 512,000 -ra------ C:\WINDOWS\system32\nviewimg.dll
      2007-04-14 00:57 49,152 -ra------ C:\WINDOWS\system32\nvmctray.dll
      2007-04-14 00:57 467,016 -ra------ C:\WINDOWS\system32\nvshell.dll
      2007-04-14 00:57 40,960 -ra------ C:\WINDOWS\system32\AsusVr.dll
      2007-04-14 00:57 40,960 -ra------ C:\WINDOWS\livenote.exe
      2007-04-14 00:57 4,640,768 -ra------ C:\WINDOWS\system32\nvcpl.dll
      2007-04-14 00:57 36,352 -ra------ C:\WINDOWS\system32\asustips.dll
      2007-04-14 00:57 348,160 -ra------ C:\WINDOWS\anvshell.exe
      2007-04-14 00:57 323,584 -ra------ C:\WINDOWS\system32\nwiz.exe
      2007-04-14 00:57 3,403,776 -ra------ C:\WINDOWS\system32\nvrsar.dll
      2007-04-14 00:57 3,391,488 -ra------ C:\WINDOWS\system32\nvrshe.dll
      2007-04-14 00:57 3,387,392 -ra------ C:\WINDOWS\system32\nvrsja.dll
      2007-04-14 00:57 3,383,296 -ra------ C:\WINDOWS\system32\nvrsko.dll
      2007-04-14 00:57 3,180,171 -ra------ C:\WINDOWS\system32\anv4disp.dll
      2007-04-14 00:57 296,960 -ra------ C:\WINDOWS\system32\asusosdnt.dll
      2007-04-14 00:57 286,806 -ra------ C:\WINDOWS\system32\keystone.exe
      2007-04-14 00:57 286,720 -ra------ C:\WINDOWS\liveupd.exe
      2007-04-14 00:57 282,624 -ra------ C:\WINDOWS\system32\nvrsesm.dll
      2007-04-14 00:57 270,336 -ra------ C:\WINDOWS\system32\nvrsit.dll
      2007-04-14 00:57 266,240 -ra------ C:\WINDOWS\system32\nvrsptb.dll
      2007-04-14 00:57 266,240 -ra------ C:\WINDOWS\system32\nvrsfr.dll
      2007-04-14 00:57 266,240 -ra------ C:\WINDOWS\system32\nvrsde.dll
      2007-04-14 00:57 262,144 -ra------ C:\WINDOWS\system32\nvrsnl.dll
      2007-04-14 00:57 258,048 -ra------ C:\WINDOWS\system32\nvrsno.dll
      2007-04-14 00:57 258,048 -ra------ C:\WINDOWS\system32\nvrses.dll
      2007-04-14 00:57 258,048 -ra------ C:\WINDOWS\system32\nvrseng.dll
      2007-04-14 00:57 258,048 -ra------ C:\WINDOWS\system32\nvrsda.dll
      2007-04-14 00:57 253,952 -ra------ C:\WINDOWS\system32\nvrsel.dll
      2007-04-14 00:57 249,856 -ra------ C:\WINDOWS\system32\nvrspt.dll
      2007-04-14 00:57 249,856 -ra------ C:\WINDOWS\system32\nvrsfi.dll
      2007-04-14 00:57 249,856 -ra------ C:\WINDOWS\system32\nvrscs.dll
      2007-04-14 00:57 245,760 -ra------ C:\WINDOWS\system32\nvrspl.dll
      2007-04-14 00:57 245,760 -ra------ C:\WINDOWS\system32\nvrshu.dll
      2007-04-14 00:57 233,280 -ra------ C:\WINDOWS\system32\drivers\anvioctl.sys
      2007-04-14 00:57 204,800 -ra------ C:\WINDOWS\anvunis.exe
      2007-04-14 00:57 184,320 -ra------ C:\WINDOWS\system32\nvwrsel.dll
      2007-04-14 00:57 176,128 -ra------ C:\WINDOWS\system32\nvwrspt.dll
      2007-04-14 00:57 176,128 -ra------ C:\WINDOWS\system32\nvwrses.dll
      2007-04-14 00:57 176,128 -ra------ C:\WINDOWS\system32\nvwrsde.dll
      2007-04-14 00:57 172,032 -ra------ C:\WINDOWS\system32\nvwrsptb.dll
      2007-04-14 00:57 172,032 -ra------ C:\WINDOWS\system32\nvwrsit.dll
      2007-04-14 00:57 172,032 -ra------ C:\WINDOWS\system32\nvwrsfr.dll
      2007-04-14 00:57 17,150 -ra------ C:\WINDOWS\system32\drivers\asuskbnt.sys
      2007-04-14 00:57 167,936 -ra------ C:\WINDOWS\system32\nvwrsnl.dll
      2007-04-14 00:57 167,936 -ra------ C:\WINDOWS\system32\nvwrshu.dll
      2007-04-14 00:57 163,840 -ra------ C:\WINDOWS\system32\nvwrspl.dll
      2007-04-14 00:57 163,840 -ra------ C:\WINDOWS\system32\nvwrsfi.dll
      2007-04-14 00:57 163,840 -ra------ C:\WINDOWS\system32\anvioctl.dll
      2007-04-14 00:57 16,968 -ra------ C:\WINDOWS\system32\anvmini.dll
      2007-04-14 00:57 159,744 -ra------ C:\WINDOWS\system32\nvwrsno.dll
      2007-04-14 00:57 159,744 -ra------ C:\WINDOWS\system32\nvwrsda.dll
      2007-04-14 00:57 159,744 -ra------ C:\WINDOWS\system32\nvwrscs.dll
      2007-04-14 00:57 155,648 -ra------ C:\WINDOWS\system32\nvoglnt.dll
      2007-04-14 00:57 15,000 -ra------ C:\WINDOWS\system32\osdmini.dll
      2007-04-14 00:57 147,456 -ra------ C:\WINDOWS\system32\nvwrsesm.dll
      2007-04-14 00:57 147,456 -ra------ C:\WINDOWS\system32\nvwrseng.dll
      2007-04-14 00:57 143,360 -ra------ C:\WINDOWS\system32\nvwrsar.dll
      2007-04-14 00:57 139,264 -ra------ C:\WINDOWS\system32\nvwrshe.dll
      2007-04-14 00:57 126,976 -ra------ C:\WINDOWS\system32\NvInstNT.dll
      2007-04-14 00:57 106,496 -ra------ C:\WINDOWS\system32\nvwrsja.dll
      2007-04-14 00:57 102,400 -ra------ C:\WINDOWS\system32\nvwrsko.dll
      2007-04-14 00:57 10,264 -ra------ C:\WINDOWS\system32\eiomini.dll
      2007-04-14 00:57 1,323,008 -ra------ C:\WINDOWS\system32\dmcpl.exe
      2007-04-14 00:57 1,312,555 -ra------ C:\WINDOWS\system32\drivers\nv4_mini.sys
      2007-04-14 00:31 525,312 --a------ C:\WINDOWS\SetPPPoE.exe
      2007-04-14 00:31 516,096 --a------ C:\WINDOWS\RemoveBt.exe
      2007-04-14 00:31 507,392 --a------ C:\WINDOWS\Reboot.exe
      2007-04-14 00:31 46,892 --a------ C:\WINDOWS\system32\ADADIX16.DLL
      2007-04-14 00:31 46,167 --a------ C:\WINDOWS\system32\drivers\adildr.sys
      2007-04-14 00:31 4,981 --a------ C:\WINDOWS\system32\ADADIX2K.DLL
      2007-04-14 00:31 28,672 --a------ C:\WINDOWS\SetDSL.exe
      2007-04-14 00:31 22,395 --a------ C:\WINDOWS\system32\drivers\fpga.bin
      2007-04-14 00:31 211,456 --a------ C:\WINDOWS\SetIPoA.exe
      2007-04-14 00:31 16,384 --a------ C:\WINDOWS\RmDSL.exe
      2007-04-14 00:31 155,648 --a------ C:\WINDOWS\system32\adadix32.dll
      2007-04-14 00:31 147,456 --a------ C:\WINDOWS\autoclk.exe
      2007-04-14 00:31 135,168 --a------ C:\WINDOWS\system32\unaddrv.exe
      2007-04-14 00:31 127,497 --a------ C:\WINDOWS\system32\drivers\ADIUSBAW.SYS
      2007-04-14 00:31 127,456 --a------ C:\WINDOWS\system32\IPDETECT.EXE
      2007-04-14 00:31 <DIR> d-------- C:\Archivos de programa\ADSLUSB_XPUpdate
      2007-04-13 19:53 <DIR> d-------- C:\DOCUME~1\FELIX\DATOSD~1\Nokia Multimedia Player
      2007-04-13 19:52 <DIR> d-------- C:\DOCUME~1\FELIX\Phone Browser
      2007-04-13 19:51 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\PC Suite
      2007-04-13 19:50 <DIR> d-------- C:\DOCUME~1\FELIX\DATOSD~1\Nokia
      2007-04-13 19:50 <DIR> d-------- C:\Archivos de programa\Archivos comunes\PCSuite
      2007-04-13 19:50 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Nokia
      2007-04-13 19:49 31,232 --a------ C:\WINDOWS\system32\drivers\sisnic.sys
      2007-04-13 19:49 <DIR> d-------- C:\DOCUME~1\FELIX\DATOSD~1\PC Suite
      2007-04-13 19:49 <DIR> d-------- C:\Archivos de programa\PC Connectivity Solution
      2007-04-13 19:49 <DIR> d-------- C:\Archivos de programa\DIFX
      2007-04-13 19:48 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Installations
      2007-04-13 19:22 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll
      2007-04-13 19:22 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
      2007-04-10 15:12 71,680 --------- C:\WINDOWS\system32\drivers\PAVDRV51.SYS
      2007-04-10 15:11 45,056 --a------ C:\WINDOWS\system32\avldr.dll
      2007-04-10 15:11 <DIR> d-------- C:\WINDOWS\system32\PAV
      2007-04-10 14:59 262 --a------ C:\WINDOWS\system32\PavCPL.dat
      2007-04-09 18:34 234,784 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
      2007-04-09 18:34 14,112 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
      2007-04-06 15:16 <DIR> d-------- C:\WINDOWS\log
      2007-04-06 15:15 <DIR> d-------- C:\log
      2007-04-06 13:58 412 --a------ C:\WINDOWS\system32\drivers\pxfsf.dat
      2007-04-06 12:48 77,312 --a------ C:\WINDOWS\ua2.dll
      2007-04-04 23:45 155,648 --a------ C:\WINDOWS\system32\winlib .dll
      2007-04-04 17:41 172 --a------ C:\WINDOWS\system32\vgoidg52\winidg52.bin
      2007-04-03 00:20 <DIR> d-------- C:\WINDOWS\McAfee.com
      2007-04-02 23:24 111,879 --a------ C:\WINDOWS\system32\gb01.exe
      2007-04-02 01:06 <DIR> d-------- C:\Archivos de programa\DelPSGuard
      2007-04-01 00:43 <DIR> d-------- C:\WINDOWS\system32\vgoidg52
      2007-03-31 10:10 39 --a------ C:\WINDOWS\system32\BLQWCHMRXCHNSXD.DLL
      2007-03-29 00:14 67 --a------ C:\WINDOWS\system32\TXCGOTYCHMR.DLL
      2007-03-29 00:14 1,281 --a------ C:\WINDOWS\system32\7a77aD0g.dll
      2007-03-28 23:34 <DIR> d-------- C:\WINDOWS\uninstall


      (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


      2007-04-15 02:15 -------- d-------- C:\Archivos de programa\power translator
      2007-04-14 00:31 -------- d--h----- C:\Archivos de programa\installshield installation information
      2007-04-14 00:31 -------- d-------- C:\Archivos de programa\telefonica
      2007-04-12 21:42 53248 --a------ C:\WINDOWS\system32\jwmpxj80.dll
      2007-04-10 15:17 51286 --a--c--- C:\WINDOWS\system32\perfc00a.dat
      2007-04-10 15:17 362564 --a--c--- C:\WINDOWS\system32\perfh00a.dat
      2007-04-10 15:03 13 --a------ C:\AUTOEXEC.BAT
      2007-04-10 14:58 -------- d-------- C:\Archivos de programa\panda software
      2007-04-02 01:32 7168 --ahs---- C:\Archivos de programa\thumbs.db
      2007-03-12 21:08 570 --a------ C:\DOCUME~1\FELIX\DATOSD~1\autogk.ini
      2007-01-19 00:02 43602 --a------ C:\WINDOWS\system32\xvid-uninstall.exe


      (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

      *Note* empty entries & legit default entries are not shown

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
      "CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
      "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NVMCTRAY.DLL,NvTaskbarInit"
      "InstantTray"="C:\\Archivos de programa\\Pinnacle\\Shared Files\\InstantCDDVD\\PCLETray.exe"
      "IW_Drop_Icon"="F:\\Archivos de programa\\InstantCDDVD\\InstantWrite\\iwctrl.exe /DropDisc"

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\Disabled]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
      "Smapp"="C:\\Archivos de programa\\Analog Devices\\SoundMAX\\SMTray.exe"
      "Anvshell"="anvshell.exe"
      "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
      "nwiz"="nwiz.exe /install"
      "HPDJ Taskbar Utility"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb10.exe"
      "SunJavaUpdateSched"="C:\\Archivos de programa\\Java\\j2re1.4.2_06\\bin\\jusched.exe"
      "RemoteControl"="C:\\WINDOWS\\System32\\rmctrl.exe"
      "WinampAgent"="f:\\Archivos de programa\\Winamp\\winampa.exe"
      "PinnacleDriverCheck"="C:\\WINDOWS\\System32\\PSDrvCheck.exe"
      "LiveNote"="livenote.exe"
      "HP Component Manager"="\"C:\\Archivos de programa\\HP\\hpcoretech\\hpcmpmgr.exe\""
      "HP Software Update"="\"C:\\Archivos de programa\\Hewlett-Packard\\HP Software Update\\HPWuSchd2.exe\""
      "QuickTime Task"="\"F:\\archivos de programa\\qttask.exe\" -atboottime"
      "APVXDWIN"="\"C:\\Archivos de programa\\Panda Software\\Panda Antivirus 2007\\APVXDWIN.EXE\" /s"
      "PCSuiteTrayApplication"="F:\\Archivos de programa\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe -startup"

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\Disabled]
      "PinnacleDriverCheck"="C:\\WINDOWS\\System32\\PSDrvCheck.exe"

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
      "Installed"="1"

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
      "Installed"="1"
      "NoChange"="1"

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
      "Installed"="1"

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "appinit_dlls"="C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll"


      [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
      "Nokia.PCSync"="F:\\Archivos de programa\\Nokia\\Nokia PC Suite 6\\PcSync2.exe /NoDialog"

      HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
      "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

      HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
      Authentication Packages REG_MULTI_SZ msv1_0\0\0
      Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
      Notification Packages REG_MULTI_SZ scecli\0\0

      [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
      LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
      NetworkService REG_MULTI_SZ DnsCache\0\0
      rpcss REG_MULTI_SZ RpcSs\0\0
      imgsvc REG_MULTI_SZ StiSvc\0\0
      termsvcs REG_MULTI_SZ TermService\0\0




      ~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

      backup-20070408-225953-160
      O23 - Service: Microsoft Update Service (BARCASE) - GRISOFT, s.r.o. - (no file)
      backup-20070408-225811-459
      O23 - Service: Microsoft Update Service (BARCASE) - GRISOFT, s.r.o. - (no file)
      backup-20070408-225811-143
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
      backup-20070408-225811-216
      O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      backup-20070408-225811-988
      F2 - REG:system.ini: Shell=
      backup-20070408-225811-437
      O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
      backup-20070408-000136-291
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
      backup-20070408-000136-511
      O4 - HKLM\..\RunOnce: [jwmpxj80] %systemroot%\system32\Rundll32.exe %systemroot%\system32\jwmpxj80.dll,DllUnregisterServer
      backup-20070408-000136-952
      O4 - HKLM\..\RunOnce: [tghrr] %systemroot%\system32\Rundll32.exe %systemroot%\system32\tghrr.dll,DllUnregisterServer
      backup-20070407-011827-703
      F2 - REG:system.ini: Shell=Explorer.exe realsled.exe
      backup-20070407-011827-434
      O4 - HKLM\..\RunOnce: [jwmpxj80] %systemroot%\system32\Rundll32.exe %systemroot%\system32\jwmpxj80.dll,DllUnregisterServer
      backup-20070407-011827-259
      O4 - HKLM\..\RunOnce: [tghrr] %systemroot%\system32\Rundll32.exe %systemroot%\system32\tghrr.dll,DllUnregisterServer
      backup-20070406-153416-585
      O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4999/mcfscan.cab
      backup-20070406-153416-876
      O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
      backup-20070406-153415-835
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
      backup-20070406-153415-856
      F2 - REG:system.ini: Shell=Explorer.exe realsled.exe
      backup-20070403-004627-380
      O23 - Service: Microsoft Update Service (BARCASE) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE (file missing)
      backup-20070403-004627-159
      O23 - Service: SCA (Service Control Application) - Unknown owner - C:\WINDOWS\System32\SYSTEM.EXE (file missing)
      backup-20070403-004627-633
      F2 - REG:system.ini: Shell=Explorer.exe realsled.exe
      backup-20070402-235033-690
      O23 - Service: Microsoft Update Service (BARCASE) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE (file missing)
      backup-20070402-235033-470
      O23 - Service: SCA (Service Control Application) - Unknown owner - C:\WINDOWS\System32\SYSTEM.EXE (file missing)
      backup-20070402-235033-304
      F2 - REG:system.ini: Shell=Explorer.exe realsled.exe
      backup-20070402-221543-365
      F2 - REG:system.ini: Shell=Explorer.exe realsled.exe
      backup-20070402-221543-136
      O23 - Service: Microsoft Update Service (BARCASE) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE (file missing)
      backup-20070402-221543-970
      O23 - Service: SCA (Service Control Application) - Unknown owner - C:\WINDOWS\System32\SYSTEM.EXE (file missing)
      backup-20070402-221454-393
      O23 - Service: SCA (Service Control Application) - Unknown owner - C:\WINDOWS\System32\SYSTEM.EXE (file missing)
      backup-20070402-221454-314
      O23 - Service: Microsoft Update Service (BARCASE) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE (file missing)
      backup-20070402-221454-585
      F2 - REG:system.ini: Shell=Explorer.exe realsled.exe
      backup-20070402-221042-415
      O23 - Service: SCA (Service Control Application) - Unknown owner - C:\WINDOWS\System32\SYSTEM.EXE (file missing)
      backup-20070402-221042-772
      O23 - Service: Microsoft Update Service (BARCASE) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE (file missing)
      backup-20070402-221023-204
      O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
      backup-20070402-221023-869
      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
      backup-20070402-221023-471
      O16 - DPF: {43331111-1111-1111-1111-611111195622} -
      backup-20070402-221022-318
      O16 - DPF: {33331111-1131-1111-1111-611111193428} -
      backup-20070402-221022-689
      O16 - DPF: {33331111-1111-1111-1111-615111193427} -
      backup-20070402-221022-820
      O16 - DPF: {33331111-1111-1111-1111-611111193429} -
      backup-20070402-221022-276
      O16 - DPF: {33331111-1111-1111-1111-611111193423} -
      backup-20070402-221022-655
      O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://C: oo.mht!http://www.drunk-sex-orgy.com/mad/bighelp2.chm::/uninst.exe
      backup-20070402-221022-957
      O2 - BHO: MyFavor Web - {F7F49040-389C-4f1f-A825-06D5328EAE59} - C:\WINDOWS\System32\MyFavor.dll
      backup-20070402-221022-968
      R3 - Default URLSearchHook is missing
      backup-20070402-221022-143
      O2 - BHO: MagicBHO Class - {AC212FB9-3883-461E-A559-37A4F6100FB0} - C:\WINDOWS\system32\iacad.dll (file missing)
      backup-20070402-221022-748
      F2 - REG:system.ini: Shell=Explorer.exe realsled.exe
      backup-20070301-000354-792
      O21 - SSODL: didynamia - {8329660f-e248-4872-98cc-fb9c4fec7ba8} - C:\WINDOWS\System32\xkrdk.dll

      Contents of the 'Scheduled Tasks' folder
      C:\WINDOWS\tasks\HubTask 0 {0E7C166E-2D2F-4269-9034-DE1898BF2B1A} 0~0.job


      ********************************************************************

      catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
      http://www.gmer.net

      scanning hidden processes ...

      scanning hidden services ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden processes: 0
      hidden services: 0
      hidden files: 0

      ********************************************************************

      Completion time: 07-04-17 22:57:00
      C:\ComboFix-quarantined-files.txt ... 07-04-17 22:57

    8. #8
      Ex-Colaborador Avatar de GPastor
      Registrado
      mar 2005
      Ubicación
      Perú
      Mensajes
      23.115

      Re: Virus resistente

      Hay muchos archivos sospechosos y sería muy riesgoso eliminarlos manualmente uno por uno, por lo que te recomiendo desinstalar momentáneamente tu antivirus y descarga el NOD32 instálalo y actualízalo, luego realiza un escaneo en Modo Seguro. Esta versión solo dura 30 días ya que es un antivirus de pago.

      Luego busca este archivo:

      C:\ComboFix-quarantined-files.txt

      Y pega su contenido.

      Seguimos pendientes.

      Saludos