Registrese o identifiquese, para no ver la publicidad

Problema por Hacktool.Rootkit reportado XNorton(SOLUCIONADO)

¿tu ordenador va lento, pierdes la conexion a internet, se reinicia solo, salen errores continuamente... este es tu foro para tu problemas con los virus

Notapor lucl » 26-01-2013 10:47

pues que si pudiste abrirte otra cuenta nueva y si pudieras darle opciones de administrador, deberias poder pasar por ahi todos los antivirus y herramientas necesarias, yo tampoco veo nada en el hijackthis por eso te comente, si quieres vuelves a llevarlo al removedor que te indique y a ver si te dice de eliminar algo, lo recuerdas? ten paciencia y repitiendo los pasos una y otra vez iras avanzando, saludos
Avatar de Usuario
lucl
Moderador
Moderador
 
Mensajes: 6578
Registrado: 26-01-2013 10:47
Ubicación: España

Notapor henryDM » 26-01-2013 10:47

Buenas amigos espero que sea un buen feliz de semana, pero siguiendo los pasos que habiamos hecho ahora en la nueva cuenta de usuario tenemos: :?:

1.- Corri el antivirus VIRUSSCAN que me recomendaste de CA y encontro estos virus que debo hacer para eliminarlos o puedo eliminar esos archivos sin problemas. Te anexo Reporte:

Virus scan finished. 7 viruses found.
Scan Results: 91430 archivos explorados. 7 virus detectados.

File Infection Status Path
cnte-dhncgts.jar-3a527af9-625d28c9.zip>BnnnnBaa.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\
cnte-dhncgts.jar-3a527af9-625d28c9.zip>VaannnaaBaa.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\
cnte-dhncgts.jar-3a527af9-625d28c9.zip>Dnnny.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\
cnte-dhncgts.jar-3a527af9-625d28c9.zip>Bnnnnn.class Java/Shinwow.BL no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\
cnte-dhncgts.jar-3a527af9-625d28c9.zip>Den.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\
cnte-dhncgts.jar-3a527af9-625d28c9.zip>Din.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\
cnte-dhncgts.jar-3a527af9-625d28c9.zip>Dun.class Java/ByteVerify!exploit no se puede desinfectar C:\Documents and Settings\Katherine Molina\Datos de programa\Sun\Java\Deployment\cache\javapi\v1.0\jar\


2.- Tambien corri el NANOSCAM y no arroja nada al respecto.

3.- En la misma pagina vi la opcion del TOTALSCAN y la corri en forma completa y encontro esto virus te anexo el reporte:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2007-08-18 11:35:52
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Norton Internet Security 2007 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]
00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe
00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe
00167691 Cookie/ademails TrackingCookie No 0 Yes No C:\Documents and Settings\Para probar Henry\Cookies\para_probar_henry@www.ademails[1].txt
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\nircmd.exe
01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe
01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================

4.- Subi el archivo c:\windows\nircmd.exe para analizarlo con VIRUSTOTAL y reporta esto segun reporte que te anexo:

Motor antivirus;Versión;Última actualización;Resultado
AhnLab-V3;2007.8.18.0;2007.08.18;-
AntiVir;7.4.1.62;2007.08.18;APPL/NirCmd.1
Authentium;4.93.8;2007.08.17;-
Avast;4.7.1029.0;2007.08.17;-
AVG;7.5.0.484;2007.08.18;-
BitDefender;7.2;2007.08.18;-
CAT-QuickHeal;9.00;2007.08.18;-
ClamAV;0.91;2007.08.18;-
DrWeb;4.33;2007.08.18;-
eSafe;7.0.15.0;2007.08.16;-
eTrust-Vet;31.1.5069;2007.08.18;-
Ewido;4.0;2007.08.18;-
FileAdvisor;1;2007.08.18;-
Fortinet;2.91.0.0;2007.08.18;-
F-Prot;4.3.2.48;2007.08.17;-
F-Secure;6.70.13030.0;2007.08.17;-
Ikarus;T3.1.1.12;2007.08.18;-
Kaspersky;4.0.2.24;2007.08.18;-
McAfee;5100;2007.08.17;-
Microsoft;1.2803;2007.08.18;-
NOD32v2;2469;2007.08.18;-
Norman;5.80.02;2007.08.17;-
Panda;9.0.0.4;2007.08.18;Application/NirCmd.A
Rising;19.36.52.00;2007.08.18;-
Sophos;4.20.0;2007.08.12;NirCmd
Sunbelt;2.2.907.0;2007.08.18;-
Symantec;10;2007.08.18;-
TheHacker;6.1.8.170;2007.08.17;-
VBA32;3.12.2.2;2007.08.17;-
VirusBuster;4.3.26:9;2007.08.18;-
Webwasher-Gateway;6.0.1;2007.08.18;Riskware.NirCmd.1

Información adicional
Tama?rchivo: 51200 bytes
MD5: c1c4f864edf67dfda95b9819263e2939
SHA1: c5594412595c73e740cafaa4de4b55a4d489ad51


5.- Corri el Hijackthis y lo voy a pasar por el analizador te anexo reporte:

Logfile of HijackThis v1.99.1
Scan saved at 12:33:51 p.m., on 18/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Hijackthis 1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cantv.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Mostrar la Barra de herramientas de Norton - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] "C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [CTSysVol] "C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" /r
O4 - HKLM\..\Run: [CTDVDDET] "C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DVDLauncher] "C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Smart Start UP] "C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe" /Automation
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe /SYS
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://aba.cantv.net/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/ka ... nicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsup ... SupCtl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsup ... mAData.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lilianamolina9ponqui.spaces.msn. ... nPUpld.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/ve/securityadvisor/pe ... stscan.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-U ... E_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ve/securityadvisor/vi ... ebscan.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lilianamolina9ponqui.spaces.live ... nPUpld.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/A ... ngctrl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: Validación de contraseña de Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe


6.- Despues de pasarle el analizador estas son las claves que salen en rojo para que las puedas revisar:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE

Este mensaje sale cuando tu pone el cursor encima de la clave roja "CoolWebSearch Ctfmon32 parasite variant"

Subi el archivo C:\WINDOWS\system32\CTFMON.EXE para analizarlo con VIRUSTOTAL y no reporta nada en su analisis.

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

Este mensaje sale cuando tu pone el cursor encima de la clave roja ShellServiceObjectDelayLoad Registry key autorun
HJT automatically weeds out the good ones here so we'll flag this as bad. Consult a HJT expert before cleaning anything.


O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

Este mensaje sale cuando tu pone el cursor encima de la clave roja File Missing When a file is missing, you should always have HijackThis fix the item.

7.- Instale la version 1.41 de CCleaner y lo corri borro unos cookies y hizo bacup de 19 entradas del Registro y luego no encontro mas ninguna.

Espero tu respuesta despues de esta revision y tratare de correr el Elirestr que es el unico que falta despueste informo.










henryDM
Usuario
Usuario
 
Mensajes: 31
Registrado: 26-01-2013 10:47

Notapor lucl » 26-01-2013 10:47

Buen trabajo si señor, sobre el cirnmd, yo te aconsejo enviar a zonavirus a que te lo analicen, dime si lo has echo ya, ya que es imposible que recuerde todo lo que enviais al ser varios los que posteais,

envio-de-muestras-y-eliminacion-de-claves-vt14253.html


ademas renombralo a .vir ¿eso estaba echo ya? para que no se vuelva a ejecutar,

sobre las entradas , la 02 puede corresponder al msn o a algun otro tipo de programa, si quieres haz fix cheked en ella, sobre la 04 no la toques, seria virico si pusiera ctfmon32.exe, ese si que es virus, si tienes el office instalado no la debes de quitar, ya viste que virustotal no te la dio como mala.

las 09 corresponden a un diagnostico de errores de windows o algo asi, la 021 quitala, y sobre las de symantec, yo te aconsejaria que lo desinstales del todo y vuelvas a instalarlo
prueba este desinstalador para que te lo quite bien

http://ask.softonic.com/ie/43087/Norton ... l__SymNRT_


Sobre lo que te da el online de java, intenta acceder a la carpeta , a una mala desinstalala e instala de nuevo

http://www.java.es

instalate tambien el spybot, lo descargas, actualizas y lo pasas a mi me gusta mucho ese programa, es muy eficaz

http://www.zonavirus.com/datos/descarga ... estroy.asp

este deberia quitarte cookies molestas que te salen en el nanoscan

por cierto veo que tienes alguna clave del avg, es un resto?

bueno me comentas los pasos que das , y ya mañana continuamos, saludos
Avatar de Usuario
lucl
Moderador
Moderador
 
Mensajes: 6578
Registrado: 26-01-2013 10:47
Ubicación: España

Notapor henryDM » 26-01-2013 10:47

Buenas amigo, te dare un resumen de lo hecho hasta ahora:

1.- Archivo NIRCMD.EXE
Enviada muestra a ZONA VIRUS (Zip con Password=virus)
Renombrado a NIRCMD.VIR

2.- Con la entrada 02, lo que hice es desinstalar Windows Live Messenger por los momentos.

3.- Elimine la clave 021.

4.- Desinstale todo Norton Internet Security lo instalare luego.

5.- Sobre las claves de AVG, yo lo tengo instalado, lo debo quitar.

6.-Corri el hijackthis despues de la desintalacion nombrada para ver que cosa hay, te lo anexo al final del mensaje.

7.- Instale el Spybot- S&D lo actualize y corri el analisis encontro esta entrada que debo hacer darle Solucionar los Problemas y eliminar la entrada abajo descrita.

--- Search result list ---
Microsoft.WindowsSecurityCenter_disabled: Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2

8.- Con respecto a lo de java el link que me pusiste no funciona y te pregunto no puedo borrar esa entrada en esa carpeta y elimino lo reportado por TOTALSCAN

9.- Queria hacerte una observacion en las cuentas de usuarios inhabilitadas cuando tu vez las Opciones de Internet la ficha de Seguridad en los sitios no ves los normales que son internet, intranet , etc solo ves el simbolo del internet explorer.

Logfile of HijackThis v1.99.1
Scan saved at 09:53:31 a.m., on 19/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe
C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe
C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe
C:\Archivos de programa\Digital Line Detect\DLG.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Hijackthis 1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cantv.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] "C:\Archivos de programa\Intel\Intel Application Accelerator\iaanotif.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [CTSysVol] "C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" /r
O4 - HKLM\..\Run: [CTDVDDET] "C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DVDLauncher] "C:\Archivos de programa\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Smart Start UP] "C:\Archivos de programa\NewSoft\Smart Start UP\PnPDetect.exe" /Automation
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe /SYS
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://aba.cantv.net/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/ka ... nicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://www-secure.symantec.com/techsup ... SupCtl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsup ... mAData.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://lilianamolina9ponqui.spaces.msn. ... nPUpld.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/ve/securityadvisor/pe ... stscan.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-US/a-U ... E_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ve/securityadvisor/vi ... ebscan.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://lilianamolina9ponqui.spaces.live ... nPUpld.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/A ... ngctrl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Archivos de programa\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)


SALUDOS
henryDM
Usuario
Usuario
 
Mensajes: 31
Registrado: 26-01-2013 10:47

Notapor lucl » 26-01-2013 10:47

Bien sobre lo del avg, no tengas dos antivirus, elige solo uno porque suelen dar problemas, en cuanto al java, elimina con tranquilidad, y luego eso que comentas de lo de seguridad en opciones de internet, mira a ver si puedes poner [b]restablecer a nivel predeterminado[b], si puedes hacer ese cambio sube el nivel de seguridad, a alta, saludos
Avatar de Usuario
lucl
Moderador
Moderador
 
Mensajes: 6578
Registrado: 26-01-2013 10:47
Ubicación: España

Notapor henryDM » 26-01-2013 10:47

Gracias amigo por tu atención a mi problema.

No me refieres nada del punto numero 7. Por favor comentame algo para saber que hacer con esa entrada que dice el Spybot- Search & Destroy le doy solucionar el problema para que el la elimine.

Por favor tambien dime algo con respecto al punto 3.- que te anexe en un mensaje anterior con respecto a la ubicacion de estos archivos que presentan problemas pero al cual yo no tengo acceso y esta identificado como C:\System Volume Information\_restore te anexo reporte y recuerda YO NO TENGO ACTIVADO EL RESTAURAR EL SISTEMA:

3.- En la misma pagina vi la opcion del TOTALSCAN y la corri en forma completa y encontro esto virus te anexo el reporte:

;***********************************************************************************************************************************************************************************
ANALYSIS: 2007-08-18 11:35:52
PROTECTIONS: 1
MALWARE: 4
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Norton Internet Security 2007 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]
00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe
00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe
00167691 Cookie/ademails TrackingCookie No 0 Yes No C:\Documents and Settings\Para probar Henry\Cookies\para_probar_henry@www.ademails[1].txt
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\nircmd.exe
01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe
01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
henryDM
Usuario
Usuario
 
Mensajes: 31
Registrado: 26-01-2013 10:47

Notapor lucl » 26-01-2013 10:47

Hola henry, sobre el punto 7, perdona no me di cuenta que lo psaba, si, debes darle a reparar problemas, en cuanto a lo del nanoscan, efectivamente te encuentra el nircmd pero que como ya estamos esperando a que te lo analicen pues tienes que esperar un poco , el tema es que estan trabajando unos pocos, pues el resto esta de vacaciones, si no iria mas rapido, te lo aseguro, por desgracia lo de restaurar sistema no lo tenias activado antes , y no tienes ahora mismo un punto bueno de restauracion pues tu ordenador sigue infectado, hazlo con la cuenta de usuario nuevo a ver que pasa, pero creo henry que debes esperar, tratare de hablar con los administradores a ver si pueden acelerar lo de tu virus, pero lo veo un poco complicado mas que nada porque no estan, te dire ademas que puedes llamarme luci :wink: , dime si solucionas algo con el restaurar sistema , aunque ya te digo que al no haber una fecha buena no podemos usar eso. Saludos
Avatar de Usuario
lucl
Moderador
Moderador
 
Mensajes: 6578
Registrado: 26-01-2013 10:47
Ubicación: España

Notapor msc hotline sat » 26-01-2013 10:47

A instancias de un privado de lucl, entro en este TEMA cuando apenas acabo de llegar de vacaciones.

Simplemente creo que os olvidais de que, una vez desactivada la restauracion de sistema, arrancando en Modo seguro con funciones de Red, lanzar el AV ONLINE aconsejado y colorin colorado...


Antivirus ONLINE aconsejado

Cuentanos el resultado, gracias

saludos

ms, 20-08-2007

Si aun asi persistiera vivo este "C:\WINDOWS\nircmd.exe " , que puede ser un RootKit, simplemente arrancar en consola de recuperacion, con el CD de instalcion, y desde entorno DOS borrar el fichero con un DEL. ms.
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81739
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Notapor henryDM » 26-01-2013 10:47

:lol: Disculpa LUCI, :lol: a veces este medio no nos permite diferenciar algo tan bello y primordial en la comunicación como es el SEXO.
Pero ahora que hemos compartido un poco más nos permitimos llamarnos por nuestro nombres de pila que los nick de identificacion de los foros no lo permiten mi nombre es HENRY.

Bueno le pase Solucionar Problemas a la entrada que hablamos y la soluciono volvi a correr el analisis y no reporto nada.

Borre el archivo de java que estaba reportando infección sin problemas.

No he corrido el "elirest.vbs" hace falta que lo corra espero que me digas que hacer.

Corri el TOTALSCAN que es el que reporta los virus en el archivo C:\System Volume Information, pero cuando termina y reporta los virus y da la opcion de desinfectar no funciona porque no puede confirmar mi registro como miembro de TOTALSCAN.

Tambien requiero explicacion sobre el arranque en Consola de Recuperacion ya que mi maquina es una DELL y no trajo CD de Instalacion de Windows, sino cuando tu restauras ella se reinstala el Sistema Operativo como vino de Fabrica.
Tambien si puedo utilizar otro CD de Instalacion de un Windows XP.


:lol: Saludos y muchas gracias :lol:
henryDM
Usuario
Usuario
 
Mensajes: 31
Registrado: 26-01-2013 10:47

Notapor msc hotline sat » 26-01-2013 10:47

A la pregunta de si puede entrar en Consola de Recuperacion arrancando con otro CD de instalacion, la respuesta es afirmativa

Y te dejo en manos de lucl con quien tan bien te entiendes :wink:

saludos

ms, 20-08-2007
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81739
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Notapor lucl » 26-01-2013 10:47

hola henry, es que despues de varios post de llamarme amigo me parecio bien aclarartelo , en cuanto a la recomendacion de msc, siguela, te advierto que el tiene muchisisiisisiisisismos años mas de experiencia que yo y para eso es admin de esto, yo que soy una simple novata y aficionada a este foro en el que estoy, saludos :lol:
Avatar de Usuario
lucl
Moderador
Moderador
 
Mensajes: 6578
Registrado: 26-01-2013 10:47
Ubicación: España

Notapor msc hotline sat » 26-01-2013 10:47

lucl escribió:soy una simple novata y aficionada a este foro


Lo de aficionada si, pero lo de novata ...

y lo de que "tiene muchisisiisisiisisismos años mas de experiencia que yo", vaya una forma fina de llamarme viejo :wink:

Bueno, a esperemos a ver como progresa la solucion del problema.

saludos

ms, 21-08-2007
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81739
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Notapor henryDM » 26-01-2013 10:47

Disculpen que no les haya contestado, le voy hacer una pregunta de ignorancia, que voy a hacer cuando inicie como consola de Recuperación.

Porque yo habia renombrado el archivo C:\windows\nircmd.exe a C:\windows\nircmd.vir y lo dejo hacer,
luego lo elimine de la carpeta de windows sin ningun problema, ahora solo me queda reportado por el SCANNER del TOTALSCAN (PANDA) estos archivos que anexo reporte:


ANALYSIS: 2007-08-21 10:43:08
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Norton Internet Security 2007 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]
00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe
00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002846.exe
01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe
01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe
;===================================================================================================================================================================================
SUSPECTS
Location


En este reporte se refleja que yo tengo el Norton Internet Security 2007, eso era cierto, pero actualmente no esta instalado, no se de donde saca la informacion al respecto.

LA PREGUNTA ES VOY A ELIMINAR ESTAS ENTRADAS DE ESOS ARCHIVOS DESDE LA CONSOLA DE RECUPERACION EN LA CARPETA DEL C:\SYSTEM VOLUME INFORMATION\.... Y QUE HAGO CON LA FICHA DE RESTAURAR EL SISTEMA QUE SIEMPRE A ESTADO DESACTIVADA Y POR ESO NO TENGO COMO HECHAR PARA ATRAS A UN DIA ESPECIFICO SIN PROBLEMAS.

DISCULPEN ESTO ES PURA IGNORANCIA SOBRE EL TEMA PUEDEN ACLARARME ALGO AL RESPECTO.

Saludos y no peleen Luci y tu sobre lo de novata y lo de muchissisisisisisimos años de experiencia lo que te hacer ver viejo, porque de verdad les agradezco toda su ayuda.
henryDM
Usuario
Usuario
 
Mensajes: 31
Registrado: 26-01-2013 10:47

Notapor lucl » 26-01-2013 10:47

Tranquilo que no peleamos, haz lo que te dijo msc, pasa el online que te indicamos y veamos que te dice ahora , este ademas es probable que te lo elimine .

http://www3.ca.com/virusinfo/virusscan.aspx


En cuanto a la restauracion de sistema debes ponerla en marcha para futuras ocasiones, asi que vete a

inicio-----todos los programas-------accesorios-----herramientas------ restauracion de sistema, y a ver alli que pasa, intenta restaurar a un punto anterior, a ver si te sale alguna fecha, y si no lo hace pues dale a crear punto de restauracion, saludos
Avatar de Usuario
lucl
Moderador
Moderador
 
Mensajes: 6578
Registrado: 26-01-2013 10:47
Ubicación: España

Notapor henryDM » 26-01-2013 10:47

Ese link que me colocan para correr online, no me arroja ningun problema el que lo arroja es este link:

http://www.nanoscan.com/ que despues de correr el NANOSCAN te da una opcion de correr el TOTALSCAN en este link:

http://www.nanoscan.com/as/v1/analisis.aspx?type=allpc

y da estos resultados:

ANALYSIS: 2007-08-21 10:43:08
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Norton Internet Security 2007 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000276.exe[SDFix\apps\Process.exe]
00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000261.exe
00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001690.exe
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002743.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000168.exe
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000135.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000278.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000279.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP3\A0000328.exe
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001617.exe
01262593 Application/NirCmd.A HackTools No 0 No No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001705.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000133.exe
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0002846.exe
01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP2\A0000210.exe
01323174 Rootkit/Oddysee.J HackTools No 0 Yes No C:\System Volume Information\_restore{2F27279E-5E99-43C1-9131-999EB1615857}\RP4\A0001639.exe
;===================================================================================================================================================================================
SUSPECTS
Location

Hazte miembro de TotalScan Pro y disfruta de la máxima capacidad de detección y desinfección:

Detecta más de 1.100.000 virus, spyware, troyanos y otras amenazas.
Actualizaciones continuas: más de 2.500 virus nuevos por día.
Incluye desinfección.

Compra TotalScan Pro y hazte miembro.


El online que me indico msc no arroja ningun resultado. :!: :!: :!: Que hago :!: :!: :!:
henryDM
Usuario
Usuario
 
Mensajes: 31
Registrado: 26-01-2013 10:47

AnteriorSiguiente

Volver a Foro Virus - Cuentanos tu problema

¿Quién está conectado?

Usuarios navegando por este Foro: Bing [Bot] y 4 invitados


Registrese o identifiquese, para no ver la publicidad