Problema por Hacktool.Rootkit reportado XNorton(SOLUCIONADO)

Cerrado
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 14 Ago 2007, 11:55

ponlo en el analizador mediante copiar pegar, luego abajo a la izda te sale parse, pica ahi y te dara el resultado, copiame las entradas en rojo, saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 14 Ago 2007, 12:34

[b]Estas son las claves en color rojo que da el analizador te las anexo:[/b]



O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)



O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe



O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)



O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

File Missing

When a file is missing, you should always have HijackThis fix the item.



O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

File Missing

When a file is missing, you should always have HijackThis fix the item.



O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)



O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

File Missing

When a file is missing, you should always have HijackThis fix the item.



O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 14 Ago 2007, 12:42

la 02 puede ser del mesenger, y las otras 023 son del norton... es posible que te lo haya ido desactivado el virus, la que es claramente virica es la 020, haz fix cheked en ella arrancando el pc en modo seguro, y a ver si quitada esa puedes pasar el elistara y el elitriip, puesto que el propio elistara tenia que habertela eliminado, no puede porque no tiene acceso claro esta, y la 04 es del officce normalmente, con esta ultima subela a virustotal y que te la analice si te da limpia es que es la genuina del office. Primero elimina esa 020 a ver si nos deja maniobrar un poco mas, saludos

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 14 Ago 2007, 12:53

perdona me olvide dejarte la direccion para que analices este archivo



O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe



es esta



https://www.virustotal.com/es/



si te sale limpio dejalo pues es del office, saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 14 Ago 2007, 13:53

La clave 04 la subi al Virustotal y pasa sin problema lo que quiere decir que esta limpia.



Cual de las Versiones de Hijackthis debo pasar para usar el Fixcheck para eliminar la entrada 20 y si debo correr el Elistart y el Elitrip despues, yo estoy en modo seguro osea que lo puedo hacer desde ahi.



saludos

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 14 Ago 2007, 14:07

con el 1.99 mismo, no importa. bien entonces la clave era del office, me alegro al menos una cosa esta bien y si, primero quita la clave y cuando estes seguro de que has podido quitarla, intenta pasar elistara y elitriip a ver si asi pueden analizar tu pc, saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 14 Ago 2007, 14:12

disculpa el fastidio esa clave 02 que tu dices que puede ser del messeger no tiene nada que ver con el Foto_celular, cuando este problema comenzo mis hijas me dijeron que habia un archivo que habia bajado por messenger y que no lo podian borrar.



Ya corri el Hijackthis y con el Fixcheck borre la clave 20,

pero volvi a correr el Elistart y falla cuando va por el mismo usuario.



Yo no reinicie la PC ya que estoy en modo seguro, que debo hacer

intento correr el Elitrip.

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 14 Ago 2007, 17:40

te dejo con flacoroo que es moderador y es el que mejor te puede indicar sobre esto, pegale el hijackthis , el ultimo que te lo vea el, saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 14 Ago 2007, 18:08

Bueno amigo flacoroo espero que podamos solucionar este gran rollo que tengo, ahi te va eso antes y despues de eliminar la clave 20.



[b]Te anexo el Hijackthis corrido en modo seguro antes de eliminar la clave 20 :[/b]



Logfile of HijackThis v1.99.1

Scan saved at 09:12:05 a.m., on 14/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Digital Line Detect\DLG.exe

C:\Hijackthis 1.99.1\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cantv.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.superantispyware.com/whatsnew.html?version=3,%209,%200,%201008&trial=no&activated=no&appid={75DB64AA-E45A-4795-A458-854E57C5279E}

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: Mostrar la Barra de herramientas de Norton - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [IAAnotif] "C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [CTSysVol] "C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" /r

O4 - HKLM\..\Run: [CTDVDDET] "C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [DVDLauncher] "C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Smart Start UP] "C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe" /Automation

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://aba.cantv.net/

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lilianamolina9ponqui.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-UNO1/GAME_UNO1.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ve/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lilianamolina9ponqui.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4933/mcfscan.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe

O23 - Service: Validación de contraseña de Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe





*****************************************************



[b]Te anexo el Hijackthis corrido en modo seguro despues de eliminar la clave 20 :[/b]



Logfile of HijackThis v1.99.1

Scan saved at 11:55:55 a.m., on 14/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Hijackthis 1.99.1\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cantv.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.superantispyware.com/whatsnew.html?version=3,%209,%200,%201008&trial=no&activated=no&appid={75DB64AA-E45A-4795-A458-854E57C5279E}

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: Mostrar la Barra de herramientas de Norton - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [IAAnotif] "C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [CTSysVol] "C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" /r

O4 - HKLM\..\Run: [CTDVDDET] "C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [DVDLauncher] "C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Smart Start UP] "C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe" /Automation

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://aba.cantv.net/

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lilianamolina9ponqui.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-UNO1/GAME_UNO1.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ve/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lilianamolina9ponqui.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4933/mcfscan.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe

O23 - Service: Validación de contraseña de Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe





[b]Ya reinicie la PC y estoy en modo seguro con recursos de RED[/b] [/b]

Avatar de Usuario
flacoroo
Mensajes: 6289
Registrado: 09 Mar 2004, 20:32
Ubicación: Paso del Macho,Ver.México

Mensaje por flacoroo » 14 Ago 2007, 18:55

eliminate estas claves....



O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll



y tambien sigue bajate el programa CCclaner y lo ejecutas...y sigue estos pasos del spybot actualizado .....



1.- Spybot lo debes de actualizar.



a.- deshabilita Restaurar Sistema



2.- Enciende tu computadora en modo seguro.



3.- Abre tu Spybot …sigue estos pasos:



a).- en el menú modo toma la opción avanzado.



b).- entras en la pestaña herramientas



c).- del lado derecho te aparecerán varias opciones, habilitas todas



d).- después entras a información de desinstalación y vas uno por uno buscando programas que creas que no haz instalado o programas que pueden llevarte a que sea lenta la computadora o tenga fallas, como toolsbars, programas gratuitos para mejorar el puntero del Mouse, emoticons, etc…



e).- También debes eliminar cadenas de programas que están solas o que no hagan referencia a un programa especifico.

Ejemplo: mxhsjxhsga1237493021%dffg$$$hdhdhsjs



f).-Después entras en Inicio de sistemas



g:- Ahí veras a todos los programas que se cargan al comenzar Windows…de lado derecho hay una imagen como un pequeño teclado dale clic para que se abra una ventana…y ahora iras de arriba hacia abajo o inversa…chécando uno por uno cada archivo y ayudándote con la información que te sale lado derecho donde dice base de datos iras haciendo lo siguiente:



1.- deshabiltar todas las que te digan NO NECESARIO…



2.- Eliminar todas las que te digan : virus, troyano, innecesario, etc.



3.-en caso de que no te salga información sobre un programa, debes de ver de que programa es, si vez que es un programa conocido pues no lo deshabilites, en la parte de abajo hay unos archivos que dicen WINLOGON esos no los deshabilites (en caso de tenerlos)



h).- de ahí te iras a la opción Partes Internas del Sistemas y oprimes la opción comprobar y si te sale algo en la ventana de abajo le das reparar los problemas seleccionado y le das borrar a todos.



i).- de ahí te vas a la opción BHOs y eliminas las cadenas que no están en verde ó en su defecto que no digan GENUINE



j).- de ahí también el mismo procedimiento a la siguiente opción ActiveX



y de ahí ejecutas el spybot y eliminas todo lo que te salga e inmunizas….





nos dices como te fue.....
:lol: :lol: La vida es hermosa....para que complicarnosla :lol: :lol:

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 14 Ago 2007, 21:53

[b]Baje la version 1.4 de CCleaner, la instale y trate de correlo y no corre que hago para limpiar todo.[/b]



[b]Bueno me estas mandando a eliminar estas claves pero todas pertenecen a unas aplicaciónes y no se deberian de Borrar:

[/b]




O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\NppBho.dll [b]Esta clave pertenece a Norton Confidencial[/b]



O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [b]Esta clave pertenece a Servidor de chat del Ares (Live Messeger)[/b]



O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE [b]Esta clave pertenece a Creative [/b]



O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe [b]Esta clave pertenece a Aplicación llamada Sonic DLA, Versión 4.98 Copyright (c) 2005, Sonic Solutions. All rights reserved [/b]



O4 - Global Startup: Digital Line Detect.lnk = ? [b]Esta clave pertenece a BVRP Software [/b]



O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll [b]Esta clave pertenece a Java (Sun Microsystems) [/b]





[b]Voy Bajando lo demas pero te pregunto en un principio del problema que tengo, mis hijas me dijeron que habian dos archivos llamados Foto_Celular uno de ellos comprimido que lo habian recibido con zumbido por messenger y que no lo podian borrar tendra que ver esto con el problema.

Tambien te pregunto el Elistara se cierra cuando esta scaneando la ultima cuenta de usuario del PC y no corri el Elitrip lo corro, espero tu respuesta. [/b]
:?:

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 15 Ago 2007, 08:59

Hola henry, a ver, yo quisiera que pasases si puedes las herramientas que te indique, en modo normal, seguro o como puedas, para el foto celular teniamos estas recomendaciones



Como que este virus del Messenger ha sido prolifico, y aparte de Temas paralelos que han sido redirigidos, ya hemos cerrado dos Temas generales de mas de 100 post cada uno



https://foros.zonavirus.com/viewtopic.php?p=98135#98135



abrimos este tercero, que quizas no será el último al respecto, sobre el particular, empezando con un resumen de las caracteristicas del Virus y del método de eliminacion:



VIRUS MSN-POSSE:



Llega por messenger y ofrece un FOTOS_POSSE.ZIP, que, al ejecutarlo, infecta al ordenador, el cual captura y envia dicho virus a todos los contactos del MSN.



Paralelamente crea los siguientes ficheros:



c:\windows\system32\sp2.exe

c:\windows\system32\yo_posse_007.jpg.exe



y modifica las claves de registro para lanzar el SP2.EXE en cada reinicio y para mantener desactivado el Administrador de tareas, y asi no poder detener el proceso virico una vez lanzado



A continuacion se descarga de la web



http: // usuarios. lycos. es/ sharkito32 /



el fichero SERVER.EXE que es otro virus, en este caso un backdoor CEP de la familia de los BIFROSE, que genera un OREANS32.SYS que tambien pasamos a controlar.



Para salir del paso, si se renombran estos ficheros a extension .VIR y se reinicia, cesa la accion del virus, si bien persiste la desactivacion del Administrador de tareas



Para que automaticamente se pueda solucionar totalmente la infeccion, incluida la restauracion de acceso al Administrador de Tareas, hemos implementado su control, restauracion de claves y eliminacion de ficheros malware, con nuestras utilidades ELISTARA (para el MSN-POSSE propiamente dicho) y el ELITRIIP (para el BIFROSE) :







ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



--------------------------------------------



como ves necesito que pases el elitriip, y ver el resultado, eliminaste la 20? pudiste pasarlo en modo seguro? ve haciendo eso, yo por desgracia no puedo ayudarte ya hasta la noche, asi que ve haciendo investigación y pon los avances que tienes, saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 16 Ago 2007, 02:34

[b]Buenas, gracias por toda la ayuda que me han prestado seguimos en la lucha contra este bicho que no conocemos.[/b]



Amigo hice algo para probar que pasaba, entonces procedi a crear otra cuenta de usuario y la misma esta funcionando bien y puedo utilizar la barra de tareas, hacer cambios de fondo de escritorio y cambiar mi pagina de inicio en el Internet Explorer.



Lo unico que no me ha funcionado es que trate de correr el [b]Kapersky[/b] y cuando pide permiso para utilizar el Active X se cierra la instalación y no hace mas nada, pero creo que es otra cosa.



Bueno por tu recomedacion corri el Elistart y el Elitriip, instale el Ccleaner y logre correrlo sin problemas hice la limpieza al sistema y luego al registro hasta que no saco ningun problema con su respectivo backup del registro el cual esta Guardado.



[b]Te anexo el log del Elistart:[/b]





Wed Aug 15 19:39:45 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Aug 15 19:40:00 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



[b]Te anexo el log del Elitriip:[/b]





Wed Aug 15 19:44:39 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Wed Aug 15 19:44:43 2007

EliTriIP v3.78 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



[b]Voy a seguir leyendo lo que mandaste para ver que encontramos, espero tu respuesta y podemos probar las herramientas que me has recomendado y no habiamos podido correr.[/b]

Ademas te anexo el ultimo Hijackthis corrido:



Logfile of HijackThis v1.99.1

Scan saved at 08:27:44 p.m., on 15/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\tcpsvcs.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe

C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe

C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Digital Line Detect\DLG.exe

C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\Notepad.exe

C:\Hijackthis 1.99.1\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cantv.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: Mostrar la Barra de herramientas de Norton - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [IAAnotif] "C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [CTSysVol] "C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" /r

O4 - HKLM\..\Run: [CTDVDDET] "C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [DVDLauncher] "C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Smart Start UP] "C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe" /Automation

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://aba.cantv.net/

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lilianamolina9ponqui.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-UNO1/GAME_UNO1.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ve/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lilianamolina9ponqui.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4933/mcfscan.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe

O23 - Service: Validación de contraseña de Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 16 Ago 2007, 08:50

henry mirame en los 04 y en C si los nombres de los programas que vienen te suena alguno que no hayas puesto tu, luego cuando vuelva de currar te lo miro despacio ok? sorry es que ahora tengo que irme :lol: gracias y saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 18 Ago 2007, 00:00

Amigo disculpa que no te haya podido responder antes he estado un poco ocupado en cosas que he dejado de hacer por tratar de recuperar el problema con la PC, pero se que tu tambien tienes tus cosas por hacer ademas que tenemos 6 horas de diferencia que a veces no cuadran las cosas como quisieramos.



No hay nada anormal en los 04 y en C: todos los que veo al menos los conozcos aunque no los haya instalado YO.



Comentame algo del mensaje anterior que te mande con respecto a la cuenta y a lo demas.



Nos contactamos, Saludos

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 18 Ago 2007, 10:32

pues que si pudiste abrirte otra cuenta nueva y si pudieras darle opciones de administrador, deberias poder pasar por ahi todos los antivirus y herramientas necesarias, yo tampoco veo nada en el hijackthis por eso te comente, si quieres vuelves a llevarlo al removedor que te indique y a ver si te dice de eliminar algo, lo recuerdas? ten paciencia y repitiendo los pasos una y otra vez iras avanzando, saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 18 Ago 2007, 20:09

Buenas amigos espero que sea un buen feliz de semana, pero siguiendo los pasos que habiamos hecho ahora en la nueva cuenta de usuario tenemos: :?:



[b] 1.- Corri el antivirus VIRUSSCAN que me recomendaste de CA y encontro estos virus que debo hacer para eliminarlos o puedo eliminar esos archivos sin problemas. Te anexo Reporte:[/b]



Virus scan finished. 7 viruses found.

Scan Results: 91430 archivos explorados. 7 virus detectados.



File Infection Status Path

cnte-dhncgts.jar-3a527af9-625d28c9.zip>BnnnnBaa.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

cnte-dhncgts.jar-3a527af9-625d28c9.zip>VaannnaaBaa.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

cnte-dhncgts.jar-3a527af9-625d28c9.zip>Dnnny.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

cnte-dhncgts.jar-3a527af9-625d28c9.zip>Bnnnnn.class Java/Shinwow.BL no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

cnte-dhncgts.jar-3a527af9-625d28c9.zip>Den.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

cnte-dhncgts.jar-3a527af9-625d28c9.zip>Din.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\

cnte-dhncgts.jar-3a527af9-625d28c9.zip>Dun.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\





[b]2.- Tambien corri el NANOSCAM y no arroja nada al respecto.[/b]



[b]3.- En la misma pagina vi la opcion del TOTALSCAN y la corri en forma completa y encontro esto virus te anexo el reporte:[/b]



;***********************************************************************************************************************************************************************************

ANALYSIS: 2007-08-18 11:35:52

PROTECTIONS: 1

MALWARE: 4

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Norton Internet Security 2007 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe

00167691 Cookie/ademails TrackingCookie No 0 Yes No C:\Documents and Settings\Para probar Henry\Cookies\para_probar_henry@www.ademails[1].txt

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\nircmd.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe

;===================================================================================================================================================================================

SUSPECTS

Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================



[b]4.- Subi el archivo c:\windows\nircmd.exe para analizarlo con VIRUSTOTAL y reporta esto segun reporte que te anexo:[/b]



Motor antivirus;Versión;Última actualización;Resultado

AhnLab-V3;2007.8.18.0;2007.08.18;-

[b]AntiVir;7.4.1.62;2007.08.18;APPL/NirCmd.1[/b]

Authentium;4.93.8;2007.08.17;-

Avast;4.7.1029.0;2007.08.17;-

AVG;7.5.0.484;2007.08.18;-

BitDefender;7.2;2007.08.18;-

CAT-QuickHeal;9.00;2007.08.18;-

ClamAV;0.91;2007.08.18;-

DrWeb;4.33;2007.08.18;-

eSafe;7.0.15.0;2007.08.16;-

eTrust-Vet;31.1.5069;2007.08.18;-

Ewido;4.0;2007.08.18;-

FileAdvisor;1;2007.08.18;-

Fortinet;2.91.0.0;2007.08.18;-

F-Prot;4.3.2.48;2007.08.17;-

F-Secure;6.70.13030.0;2007.08.17;-

Ikarus;T3.1.1.12;2007.08.18;-

Kaspersky;4.0.2.24;2007.08.18;-

McAfee;5100;2007.08.17;-

Microsoft;1.2803;2007.08.18;-

NOD32v2;2469;2007.08.18;-

Norman;5.80.02;2007.08.17;-

[b]Panda;9.0.0.4;2007.08.18;Application/NirCmd.A[/b]

Rising;19.36.52.00;2007.08.18;-

[b]Sophos;4.20.0;2007.08.12;NirCmd[/b]

Sunbelt;2.2.907.0;2007.08.18;-

Symantec;10;2007.08.18;-

TheHacker;6.1.8.170;2007.08.17;-

VBA32;3.12.2.2;2007.08.17;-

VirusBuster;4.3.26:9;2007.08.18;-

[b]Webwasher-Gateway;6.0.1;2007.08.18;Riskware.NirCmd.1[/b]



Información adicional

Tama?rchivo: 51200 bytes

MD5: c1c4f864edf67dfda95b9819263e2939

SHA1: c5594412595c73e740cafaa4de4b55a4d489ad51





[b]5.- Corri el Hijackthis y lo voy a pasar por el analizador te anexo reporte:[/b]



Logfile of HijackThis v1.99.1

Scan saved at 12:33:51 p.m., on 18/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Hijackthis 1.99.1\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cantv.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O3 - Toolbar: Mostrar la Barra de herramientas de Norton - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [IAAnotif] "C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [CTSysVol] "C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" /r

O4 - HKLM\..\Run: [CTDVDDET] "C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [DVDLauncher] "C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Smart Start UP] "C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe" /Automation

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe /SYS

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://aba.cantv.net/

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lilianamolina9ponqui.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/ve/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-UNO1/GAME_UNO1.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ve/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lilianamolina9ponqui.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4933/mcfscan.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe

O23 - Service: Validación de contraseña de Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe





[b]6.- Despues de pasarle el analizador estas son las claves que salen en rojo para que las puedas revisar:[/b]



O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)



O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja "CoolWebSearch Ctfmon32 parasite variant" [/u]



[b]Subi el archivo C:\WINDOWS\system32\CTFMON.EXE para analizarlo con VIRUSTOTAL y no reporta nada en su analisis.[/b]



O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja ShellServiceObjectDelayLoad Registry key autorun

HJT automatically weeds out the good ones here so we'll flag this as bad. Consult a HJT expert before cleaning anything.

[/u]




O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)



[u]Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.[/u]



[b]7.- Instale la version 1.41 de CCleaner y lo corri borro unos cookies y hizo bacup de 19 entradas del Registro y luego no encontro mas ninguna.[/b]



Espero tu respuesta despues de esta revision y tratare de correr el Elirestr que es el unico que falta despueste informo.






















Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 18 Ago 2007, 21:14

Buen trabajo si señor, sobre el cirnmd, yo te aconsejo enviar a zonavirus a que te lo analicen, dime si lo has echo ya, ya que es imposible que recuerde todo lo que enviais al ser varios los que posteais,



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





ademas renombralo a .vir ¿eso estaba echo ya? para que no se vuelva a ejecutar,



sobre las entradas , la 02 puede corresponder al msn o a algun otro tipo de programa, si quieres haz fix cheked en ella, sobre la 04 no la toques, seria virico si pusiera ctfmon32.exe, ese si que es virus, si tienes el office instalado no la debes de quitar, ya viste que virustotal no te la dio como mala.



las 09 corresponden a un diagnostico de errores de windows o algo asi, la 021 quitala, y sobre las de symantec, yo te aconsejaria que lo desinstales del todo y vuelvas a instalarlo

prueba este desinstalador para que te lo quite bien



http://ask.softonic.com/ie/43087/Norton_Removal_Tool__SymNRT_





Sobre lo que te da el online de java, intenta acceder a la carpeta , a una mala desinstalala e instala de nuevo



http://www.java.es



instalate tambien el spybot, lo descargas, actualizas y lo pasas a mi me gusta mucho ese programa, es muy eficaz



http://www.zonavirus.com/descargas/spybot-sd.asp



este deberia quitarte cookies molestas que te salen en el nanoscan



por cierto veo que tienes alguna clave del avg, es un resto?



bueno me comentas los pasos que das , y ya mañana continuamos, saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 19 Ago 2007, 17:18

Buenas amigo, te dare un resumen de lo hecho hasta ahora:



[b]1.- Archivo NIRCMD.EXE[/b]

Enviada muestra a ZONA VIRUS (Zip con Password=virus)

Renombrado a NIRCMD.VIR



[b]2.- Con la entrada 02, lo que hice es desinstalar Windows Live Messenger por los momentos. [/b]



[b]3.- Elimine la clave 021.[/b]



[b]4.- Desinstale todo Norton Internet Security lo instalare luego.[/b]



[b]5.- Sobre las claves de AVG, yo lo tengo instalado, [u]lo debo quitar[/u].[/b]



[b]6.-Corri el hijackthis despues de la desintalacion nombrada para ver que cosa hay, [u]te lo anexo al final del mensaje[/u].[/b]



[b]7.- Instale el Spybot- S&D lo actualize y corri el analisis encontro esta entrada que debo hacer darle [u]Solucionar los Problemas y eliminar la entrada abajo descrita[/u].[/b]



--- Search result list ---

Microsoft.WindowsSecurityCenter_disabled: Configuración (Cambio en el registro, nothing done)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2



[b]8.- Con respecto a lo de java el link que me pusiste no funciona y [u]te pregunto no puedo borrar esa entrada en esa carpeta y elimino lo reportado por TOTALSCAN[/u][/b]



[b]9.- Queria hacerte una observacion en las cuentas de usuarios inhabilitadas cuando tu vez las Opciones de Internet la ficha de Seguridad en los sitios no ves los normales que son internet, intranet , etc solo ves el simbolo del internet explorer. [/b]



[b]Logfile of HijackThis v1.99.1

Scan saved at 09:53:31 a.m., on 19/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)[/b]




Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe

C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe

C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe

C:\Archivos de programa\Digital Line Detect\DLG.exe

C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Hijackthis 1.99.1\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cantv.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [IAAnotif] "C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [CTSysVol] "C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" /r

O4 - HKLM\..\Run: [CTDVDDET] "C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [DVDLauncher] "C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Smart Start UP] "C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe" /Automation

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe /SYS

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://aba.cantv.net/

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lilianamolina9ponqui.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/ve/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-UNO1/GAME_UNO1.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ve/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lilianamolina9ponqui.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4933/mcfscan.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe

O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)





[b]SALUDOS[/b]

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 19 Ago 2007, 21:46

Bien sobre lo del avg, no tengas dos antivirus, elige solo uno porque suelen dar problemas, en cuanto al java, elimina con tranquilidad, y luego eso que comentas de lo de seguridad en opciones de internet, mira a ver si puedes poner [b]restablecer a nivel predeterminado[b], si puedes hacer ese cambio sube el nivel de seguridad, a alta, saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 19 Ago 2007, 22:27

Gracias amigo por tu atención a mi problema.



No me refieres nada del punto numero 7. Por favor comentame algo para saber que hacer con esa entrada que dice el Spybot- Search & Destroy le doy solucionar el problema para que el la elimine.



Por favor tambien dime algo con respecto al punto 3.- que te anexe en un mensaje anterior con respecto a la ubicacion de estos archivos que presentan problemas pero al cual yo no tengo acceso y esta identificado como C:\System Volume Information\_restore te anexo reporte y recuerda YO NO TENGO ACTIVADO EL RESTAURAR EL SISTEMA:



3.- En la misma pagina vi la opcion del TOTALSCAN y la corri en forma completa y encontro esto virus te anexo el reporte:



;***********************************************************************************************************************************************************************************

ANALYSIS: 2007-08-18 11:35:52

PROTECTIONS: 1

MALWARE: 4

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Norton Internet Security 2007 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe

00167691 Cookie/ademails TrackingCookie No 0 Yes No C:\Documents and Settings\Para probar Henry\Cookies\para_probar_henry@www.ademails[1].txt

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\nircmd.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe

;===================================================================================================================================================================================

SUSPECTS

Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 20 Ago 2007, 08:02

Hola henry, sobre el punto 7, perdona no me di cuenta que lo psaba, si, debes darle a reparar problemas, en cuanto a lo del nanoscan, efectivamente te encuentra el nircmd pero que como ya estamos esperando a que te lo analicen pues tienes que esperar un poco , el tema es que estan trabajando unos pocos, pues el resto esta de vacaciones, si no iria mas rapido, te lo aseguro, por desgracia lo de restaurar sistema no lo tenias activado antes , y no tienes ahora mismo un punto bueno de restauracion pues tu ordenador sigue infectado, hazlo con la cuenta de usuario nuevo a ver que pasa, pero creo henry que debes esperar, tratare de hablar con los administradores a ver si pueden acelerar lo de tu virus, pero lo veo un poco complicado mas que nada porque no estan, te dire ademas que puedes llamarme luci :wink: , dime si solucionas algo con el restaurar sistema , aunque ya te digo que al no haber una fecha buena no podemos usar eso. Saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 20 Ago 2007, 09:30

A instancias de un privado de lucl, entro en este TEMA cuando apenas acabo de llegar de vacaciones.



Simplemente creo que os olvidais de que, una vez desactivada la restauracion de sistema, [b][i]arrancando en Modo seguro con funciones de Red[/i][/b], lanzar el AV ONLINE aconsejado y colorin colorado...





[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]



Cuentanos el resultado, gracias



saludos



ms, 20-08-2007



Si aun asi persistiera vivo este "C:\WINDOWS\nircmd.exe " , que puede ser un RootKit, simplemente arrancar en consola de recuperacion, con el CD de instalcion, y desde entorno DOS borrar el fichero con un DEL. ms.

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 20 Ago 2007, 16:55

:lol: Disculpa LUCI, :lol: a veces este medio no nos permite diferenciar algo tan bello y primordial en la comunicación como es el SEXO.

Pero ahora que hemos compartido un poco más nos permitimos llamarnos por nuestro nombres de pila que los nick de identificacion de los foros no lo permiten mi nombre es HENRY.



Bueno le pase Solucionar Problemas a la entrada que hablamos y la soluciono volvi a correr el analisis y no reporto nada.



Borre el archivo de java que estaba reportando infección sin problemas.



No he corrido el "elirest.vbs" hace falta que lo corra espero que me digas que hacer.



Corri el TOTALSCAN que es el que reporta los virus en el archivo C:\System Volume Information, pero cuando termina y reporta los virus y da la opcion de desinfectar no funciona porque no puede confirmar mi registro como miembro de TOTALSCAN.



Tambien requiero explicacion sobre el arranque en Consola de Recuperacion ya que mi maquina es una DELL y no trajo CD de Instalacion de Windows, sino cuando tu restauras ella se reinstala el Sistema Operativo como vino de Fabrica.

Tambien si puedo utilizar otro CD de Instalacion de un Windows XP.





:lol: Saludos y muchas gracias :lol:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 20 Ago 2007, 17:15

A la pregunta de si puede entrar en Consola de Recuperacion arrancando con otro CD de instalacion, la respuesta es afirmativa



Y te dejo en manos de lucl con quien tan bien te entiendes :wink:



saludos



ms, 20-08-2007

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 20 Ago 2007, 20:40

hola henry, es que despues de varios post de llamarme amigo me parecio bien aclarartelo , en cuanto a la recomendacion de msc, siguela, te advierto que el tiene muchisisiisisiisisismos años mas de experiencia que yo y para eso es admin de esto, yo que soy una simple novata y aficionada a este foro en el que estoy, saludos :lol:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 21 Ago 2007, 05:14

[quote="lucl"]soy una simple novata y aficionada a este foro[/quote]

Lo de aficionada si, pero lo de novata ...



y lo de que "tiene muchisisiisisiisisismos años mas de experiencia que yo", vaya una forma fina de llamarme viejo :wink:



Bueno, a esperemos a ver como progresa la solucion del problema.



saludos



ms, 21-08-2007

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 21 Ago 2007, 17:09

Disculpen que no les haya contestado, le voy hacer una pregunta de ignorancia, que voy a hacer cuando inicie como consola de Recuperación.



[b]Porque yo habia renombrado el archivo C:\windows\nircmd.exe a C:\windows\nircmd.vir y lo dejo hacer,

luego lo elimine de la carpeta de windows sin ningun problema, ahora solo me queda reportado por el SCANNER del TOTALSCAN (PANDA) estos archivos que anexo reporte:[/b]




ANALYSIS: 2007-08-21 10:43:08

PROTECTIONS: 1

MALWARE: 3

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Norton Internet Security 2007 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002846.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe

;===================================================================================================================================================================================

SUSPECTS

Location





[b]En este reporte se refleja que yo tengo el Norton Internet Security 2007, eso era cierto, pero actualmente no esta instalado, no se de donde saca la informacion al respecto. [/b]



[b]LA PREGUNTA ES VOY A ELIMINAR ESTAS ENTRADAS DE ESOS ARCHIVOS DESDE LA CONSOLA DE RECUPERACION EN LA CARPETA DEL C:\SYSTEM VOLUME INFORMATION\.... Y QUE HAGO CON LA FICHA DE RESTAURAR EL SISTEMA QUE SIEMPRE A ESTADO DESACTIVADA Y POR ESO NO TENGO COMO HECHAR PARA ATRAS A UN DIA ESPECIFICO SIN PROBLEMAS.[/b]



[b]DISCULPEN ESTO ES PURA IGNORANCIA SOBRE EL TEMA PUEDEN ACLARARME ALGO AL RESPECTO.[/b]



Saludos y no peleen Luci y tu sobre lo de novata y lo de muchissisisisisisimos años de experiencia lo que te hacer ver viejo, porque de verdad les agradezco toda su ayuda.

Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:

Mensaje por lucl » 21 Ago 2007, 17:23

Tranquilo que no peleamos, haz lo que te dijo msc, pasa el online que te indicamos y veamos que te dice ahora , este ademas es probable que te lo elimine .



https://www.virustotal.com/es/





En cuanto a la restauracion de sistema debes ponerla en marcha para futuras ocasiones, asi que vete a



inicio-----todos los programas-------accesorios-----herramientas------ restauracion de sistema, y a ver alli que pasa, intenta restaurar a un punto anterior, a ver si te sale alguna fecha, y si no lo hace pues dale a crear punto de restauracion, saludos

henryDM
Mensajes: 31
Registrado: 14 Ago 2007, 02:19

Mensaje por henryDM » 21 Ago 2007, 22:49

Ese link que me colocan para correr online, no me arroja ningun problema el que lo arroja es este link:



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus// que despues de correr el NANOSCAN te da una opcion de correr el TOTALSCAN en este link:



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/analisis.aspx?type=allpc



y da estos resultados:



ANALYSIS: 2007-08-21 10:43:08

PROTECTIONS: 1

MALWARE: 3

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Norton Internet Security 2007 Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe

00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe

01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe

01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002846.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe

01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe

;===================================================================================================================================================================================

SUSPECTS

Location



Hazte miembro de TotalScan Pro y disfruta de la máxima capacidad de detección y desinfección:



Detecta más de 1.100.000 virus, spyware, troyanos y otras amenazas.

Actualizaciones continuas: más de 2.500 virus nuevos por día.

Incluye desinfección.



Compra TotalScan Pro y hazte miembro.





[b]El online que me indico msc no arroja ningun resultado. :!: :!: :!: Que hago :!: :!: :!: [/b]

Cerrado