PC lenta y sospechosa (Problemas al abrir discos) (SOLVED)

jdelhard · Mensaje por **jdelhard** » 28 Oct 2007, 20:19

[color=blue]Buenas tardes, en esta ocasión les escribo para decirles que mi PC está muy lenta y entre las cosas que hace están, que me aparece el menu para seleccionar programas cuando intento abrir mis discos duros.

Hace unos minutos no me dejaba ver los archivos ocultos, pero primero pasé el Ad-Aware y luego el Elistara y ya puedo ver los archivos ocultos, es decir, me deja poner la opción de Ver archivos ocultos.

Pero aun persiste el problema de abrir los discos de almacenamiento. Lo que me aparece cuando doy clic derecho encima de un disco es unas letras como en árabe, como si fueran simbolos.

LLevaba la mañana entera leyendo aqui en el foro, cuando me decidí a seguir algunos pasos. Pero cuando inicié en modo a prueba de fallos con opciones de red e intenté configurar una cuenta para conectarme y pasar el antivirus online me dejaba configurar, pero cuando llegaba a la parte que dice ¿Como desea conectarse a Internet? le puse Establecer mi conexiòn Manualmente y al darle siguiente sòlo me dejaba la opción de ~~[b]~~Conectarse usando una conexión de banda ancha que está siempre activa.[/b] Por lo cual no me puedo conectar en modo a prueba de fallos, ya que yo lo que tengo es una conexión Dial-Up.

Aqui les dejo el informe de Elistara (A ver que ven raro)[/color]

Sun Oct 28 14:46:40 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Linea Eliminada del HOSTS --> 127.0.0.1 AdSubtract # Added by AdSubtract for auto-dial.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=RavMon.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=RavMon.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sun Oct 28 14:47:19 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\ALCMTR.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 2617

Nº Total de Ficheros: 21746

Nº de Ficheros Analizados: 7421

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Sun Oct 28 14:49:03 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\programas r\WINDOWS MEDIA PLAYER 11 ESPAñOL.EXE --> Eliminado, Spy.Banker.FJB(dropper)

Nº Total de Directorios: 649

Nº Total de Ficheros: 6844

Nº de Ficheros Analizados: 1734

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Sun Oct 28 14:51:53 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Oct 28 14:51:56 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 2616

Nº Total de Ficheros: 21747

Nº de Ficheros Analizados: 6989

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sun Oct 28 14:52:34 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\programas r\Solid Converter PDF Professional\solid converter pdf professional v3 0 299 + crack(2).exe --> Eliminado, Bifrose(dropper)

Nº Total de Directorios: 649

Nº Total de Ficheros: 6843

Nº de Ficheros Analizados: 1623

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Sun Oct 28 14:53:24 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sun Oct 28 14:53:27 2007

EliTriIP v4.04 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\

Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[color=blue]Aqui el informe de Ad-Aware (Lo hice yo, ya que el programa no lo hace)[/color]

Ad-Aware SE Build 1.06r1

Logfile Created on:Domingo, 28 de Octubre de 2007 02:38:51 p.m.

Created with Ad-Aware SE Personal, free for private use.

Using definitions file:SE1R47 24.05.2005

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie(TAC index:3):2 total references

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings

===========================

Set : Search for negligible risk entries

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan my Hosts file

Extended Ad-Aware SE Settings

===========================

Set : Unload recognized processes & modules during scan

Set : Scan registry for all users instead of current user only

Set : Always try to unload modules before deletion

Set : During removal, unload Explorer and IE if necessary

Set : Let Windows remove files in use at next reboot

Set : Delete quarantined objects after restoring

Set : Include basic Ad-Aware settings in log file

Set : Include additional Ad-Aware settings in log file

Set : Include reference summary in log file

Set : Include alternate data stream details in log file

Set : Play sound at scan completion if scan locates critical objects

28-10-2007 02:38:51 p.m. - Scan started. (Full System Scan)

Listing running processes

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]

FilePath : \SystemRoot\System32\

ProcessID : 324

ThreadCreationTime : 28-10-2007 06:33:10 p.m.

BasePriority : Normal

#:2 [csrss.exe]

FilePath : \??\C:\WINDOWS\system32\

ProcessID : 372

ThreadCreationTime : 28-10-2007 06:33:13 p.m.

BasePriority : Normal

#:3 [winlogon.exe]

FilePath : \??\C:\WINDOWS\SYSTEM32\

ProcessID : 396

ThreadCreationTime : 28-10-2007 06:33:14 p.m.

BasePriority : High

#:4 [services.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 444

ThreadCreationTime : 28-10-2007 06:33:17 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Sistema operativo Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Aplicación de servicios y controlador

InternalName : services.exe

LegalCopyright : Copyright (C) Microsoft Corporation. Reservados todos los derechos.

OriginalFilename : services.exe

#:5 [lsass.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 456

ThreadCreationTime : 28-10-2007 06:33:17 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : LSA Shell (Export Version)

InternalName : lsass.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : lsass.exe

#:6 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 616

ThreadCreationTime : 28-10-2007 06:33:19 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

#:7 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 660

ThreadCreationTime : 28-10-2007 06:33:20 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

#:8 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 744

ThreadCreationTime : 28-10-2007 06:33:21 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

#:9 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 764

ThreadCreationTime : 28-10-2007 06:33:21 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

#:10 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 800

ThreadCreationTime : 28-10-2007 06:33:21 p.m.

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

#:11 [explorer.exe]

FilePath : C:\WINDOWS\

ProcessID : 1156

ThreadCreationTime : 28-10-2007 06:33:47 p.m.

BasePriority : Normal

FileVersion : 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)

ProductVersion : 6.00.2900.3156

ProductName : Sistema operativo Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Explorador de Windows

InternalName : explorer

LegalCopyright : © Microsoft Corporation. Reservados todos los derechos.

OriginalFilename : EXPLORER.EXE

#:12 [ad-aware.exe]

FilePath : C:\ARCHIV~1\Lavasoft\AD-AWA~1\

ProcessID : 1700

ThreadCreationTime : 28-10-2007 06:38:28 p.m.

BasePriority : Normal

FileVersion : 6.2.0.236

ProductVersion : SE 106

ProductName : Lavasoft Ad-Aware SE

CompanyName : Lavasoft Sweden

FileDescription : Ad-Aware SE Core application

InternalName : Ad-Aware.exe

LegalCopyright : Copyright © Lavasoft AB Sweden

OriginalFilename : Ad-Aware.exe

Comments : All Rights Reserved

Memory scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 0

Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 0

Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 0

Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : administrador@atdmt[1].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:1

Value : Cookie:administrador@atdmt.com/

Expires : 17-10-2012 08:00:00 p.m.

LastSync : Hits:1

UseCount : 0

Hits : 1

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : administrador@doubleclick[1].txt

TAC Rating : 3

Category : Data Miner

Comment : Hits:1

Value : Cookie:administrador@doubleclick.net/

Expires : 20-10-2007 12:23:06 p.m.

LastSync : Hits:1

UseCount : 0

Hits : 1

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 2

Objects found so far: 2

Deep scanning and examining files (C:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 2

Deep scanning and examining files (D:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 2

Scanning Hosts file......

Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

2 entries scanned.

New critical objects:0

Objects found so far: 2

Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 2

02:41:35 p.m. Scan Complete

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:02:43.125

Objects scanned:92228

Objects identified:2

Objects ignored:0

New critical objects:2

[color=blue]

POR CIERTO TENGO EL PANDA ANTIVIRUS 2008 ACTUALIZADO A 28 DE OCTUBRE 2007 (HOY)

Espero su como siempre grata y buena ayuda...[/color]

Mensaje por **lucl** » 28 Oct 2007, 21:04

Aparte de esto que te dice elistara

Detectado AUTORUN.INF en la Unidad (C)

open=RavMon.exe

Si Desconoce la Aplicación, por favor envienosla

Detectado AUTORUN.INF en la Unidad (D)

open=RavMon.exe

Si Desconoce la Aplicación, por favor envienosla

que si desconoces envianos para su analisis

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

ejecuta hijackthis y peganos el log para que veamos las entradas que tienes, saludos

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

Mensaje por **msc hotline sat** » 29 Oct 2007, 10:37

Hemos recibido muestra del AUTORUN.INF

No hacemos nada sin la muestra del [i]~~[b]~~RavMon.exe[/b][/i] que lanza este AUTORUN.INF

Con un Inicio-> Buscar, localicela y envienosla:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 29-10-2007

jdelhard · Mensaje por **jdelhard** » 30 Oct 2007, 16:01

[quote="msc hotline sat"]Hemos recibido muestra del AUTORUN.INF

No hacemos nada sin la muestra del [i]~~[b]~~RavMon.exe[/b][/i] que lanza este AUTORUN.INF

saludos

ms, 29-10-2007[/quote]
[color=blue]~~[b]~~

Lo busqué y no lo encontré, parece que el Ad-Aware o el Elistara lo borraron, o puede ser que hace mucho cuando escanee mi pc en busca de virus mi antivirus encontrara eso y lo borrara.

Lo que hice en el C: fué eliminar manualmente el Autorun.exe y ahora el disco abre normalmente, pero en el D: lo he dejado para que ustedes lo analiaran.[/b][/color]

jdelhard · Mensaje por **jdelhard** » 30 Oct 2007, 16:05

[quote="lucl"]Ejecuta hijackthis y peganos el log para que veamos las entradas que tienes, saludos

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos[/quote]
[color=blue]~~[b]~~

En esta info que pusiste de como utilizar el HJT no dice que debe ser en modo a prueba de fallos, por lo cual me imagino que puede ser normalmente.[/b][/color]

jdelhard · Mensaje por **jdelhard** » 30 Oct 2007, 16:09

[color=blue]~~[b]~~Se me olvidaba decirles que tengo una PC:

MSI-7255

Procesador Pentium IV a 3.0Ghz

1.0 GB Memoria DDR2

Y utilizo Windows XP SP2

Creo que esas especificaciones no se adaptan a la velocidad que obtengo de mi PC.

(No sé si esta info es importante, pero la quize dejar por si acaso)[/b][/color]

Mensaje por **msc hotline sat** » 30 Oct 2007, 16:30

Tienes una buena máquina, pero todo es relativo, pues en funcion del ancho de banda disponible en cada momento y de la carga de la CPU, se obtendrá mas o menos velocidad de proceso.

Dices que solo está en el D:, pues mira si está allí el otro fichero, ya que sin él no hace nada, es solo el fichero de configuracion o de lanzamiento, pero si no estuvieran los que lanza, no haría nada, y tampoco nosotros sin dicho RAVMON.EXE

Si ya has solucionado el problema de las unidades y no tienes dichos ficheros, daremos por solucionado el Tema, pero antes demos un vistazo al log del HJT que te ha pedido lucl, que puedes lanzar en modo normal, solo en casos que tememos un RootKit lo pedimos en modo seguro.

Lo analizaremos e informaremos

saludos

ms, 30-10-2007

jdelhard · Mensaje por **jdelhard** » 30 Oct 2007, 17:06

[quote="msc hotline sat"]Dices que solo está en el D:, pues mira si está allí el optro fichero, ya que sin él no hace nada, es solo el fichero de configuracion o de lanzamiento, pero si no estuvieran los que lanza, no haría nada, y tampoco nosotros sin dicho RAVMON.EXE

saludos

ms, 30-10-2007[/quote]
[color=blue]

Estaba en el C: pero yo lo eliminé manualmente y también noté que estaba en el G: (Mi memoria USB). Es decir que parece que lo que era le puso un Autorun a cada unidad de disco. Pero en el D: no encontré ese archivo, lo único que en el D: me aparece la opción de ~~[b]~~"Abrir Con"[/b]. En fin como no tengo el RavMon.exe, creo que sencillamente elimino el Autorun y listo. ¿Qué crees?

Por cierto a continuación les posteo el Log del HJT.[/color]

jdelhard · Mensaje por **jdelhard** » 30 Oct 2007, 17:11

[color=blue]Aqui les dejo el log de HiJackThis, este lo hice en modo a prueba de fallos, ya que estaba en ese momento asi.

Pero por si acaso, haré uno en modo normal, a ver si hay diferencias.

[/color]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:50:41 a.m., on 30/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode with network support

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV\QuickTV.exe

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\ARCHIV~1\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\ARCHIV~1\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsCtrls.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\pavsrv51.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsImSvc.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--

End of file - 6251 bytes

jdelhard · Mensaje por **jdelhard** » 30 Oct 2007, 17:29

[color=blue]Aqui les dejo el log del hijacthis en modo normal:[/color]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:20:39 p.m., on 30/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\pavsrv51.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\pctspk.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsImSvc.exe

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsCtrls.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE

C:\WINDOWS\system32\S3trayp.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\AVerTV\QuickTV.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV\QuickTV.exe

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\ARCHIV~1\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\ARCHIV~1\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BCD7C010-4216-439E-80CC-3C78754A3D31}: NameServer = 200.42.213.11 200.42.213.21

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsCtrls.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\pavsrv51.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsImSvc.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--

End of file - 6591 bytes

Mensaje por **msc hotline sat** » 30 Oct 2007, 17:46

Sí, hay este sospechoso:

C:\windows\system32\syssetub.dll

envianoslo y lo analizaremos e informaremos

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 30-10-2007

jdelhard · Mensaje por **jdelhard** » 31 Oct 2007, 04:56

[quote="msc hotline sat"]Sí, hay este sospechoso:

C:\windows\system32\syssetub.dll

envianoslo y lo analizaremos e informaremos

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 30-10-2007[/quote]
[color=blue]

Brother no lo veo en C:\Windows\System32...

El que si veo es syssetup.dll.[/color]

Mensaje por **msc hotline sat** » 31 Oct 2007, 05:11

Pues como verá aparecen los dos ficheros, el "%SystemRoot%\System32\syssetub.dll" , que le pedimos y el otro "%SystemRoot%\System32\syssetup.dll" , que es mas normal, pero, si no encuentra el uno, envienos este otro y lo analizaremos:

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

y tambien entre ellas hay claves que llaman al CTFMON.EXE , que a veces es troyano, especialmente si no se tiene instalado el OFFICE, asi que envienos tambien el:

C:\WINDOWS\system32\CTFMON.EXE

ya sabe:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 31-10-2007

jdelhard · Mensaje por **jdelhard** » 31 Oct 2007, 13:43

[quote="msc hotline sat"]Pues como verá aparecen los dos ficheros, el "%SystemRoot%\System32\syssetub.dll" , que le pedimos y el otro "%SystemRoot%\System32\syssetup.dll" , que es mas normal, pero, si no encuentra el uno, envienos este otro y lo analizaremos:

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

y tambien entre ellas hay claves que llaman al CTFMON.EXE , que a veces es troyano, especialmente si no se tiene instalado el OFFICE, asi que envienos tambien el:

C:\WINDOWS\system32\CTFMON.EXE

ya sabe:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 31-10-2007[/quote]
[color=blue]

Ya se los he enviado, cabe destacar que si tengo Office, pero ustedes dirán....[/color]

Mensaje por **msc hotline sat** » 31 Oct 2007, 15:20

Entoncves el CTFMON.EXE puede ser de dicha aplicacion.

Analizaremos sus ficheros e informaremos

saludos

ms, 31-10-2007

Mensaje por **msc hotline sat** » 31 Oct 2007, 16:36

Y recibidos estos ficheros resultan ser los normales del sistema operativo, por lo que se nos ha ocurrido la hipotesis de que este

syssetup.dll estuviera en curso de actualizacion, y para ello primero se copiara como syssetub.dll al no poder sobreescribir el normal por estar el uso, y en el siguiente reinicio se mueva dicho fichero a syssetup.dll, cuando aun no esta en uso.

En tal caso, si bien ello solo lo ha de hacer una vez (por eso lo del RUNONCE), sería normal y lo dejaríemos estar, lo que pasa es que tras reiniciar no deberían salir mas dichas claves (correspondientes a los 4 usuarios de esta máquina), y si persisten, lo propio sería eliminarlas o buscar la causa del porqué no puede realizar el proceso, pero tiempo al tiempo...

Asi que reinicie y vea si lanzando de nuevo el HJT sigue reportando estas 4 claves RUNONCE, y si es asi yo las eliminaría, si bien puede por otro lado buscar la causa del porqué le pasa esta anormalidad...

El caso es que decia que no encontraba ningun syssetup.dll, pues copie a mano el syssetub.dll como syssetup.dll , y asi verá porqué no puede crearlo el proceso, aqui estará la causa de la repeticion de las claves RUNONCE al no poder hacer lo que se le manda...

Y comentenos el resultado, gracias

saludos

ms, 31-10-2007

jdelhard · Mensaje por **jdelhard** » 31 Oct 2007, 18:31

[color=blue]Por otro lado y con relación a los discos duros. Me aparece en mi disco D: unas carpetas que me las encuentro extrañas, quiero consultarles a ver si no hay problemas en que las elimine, porque en realidad no tienen contenido.

Son las que dicen. FOUND.000, ETC.

A continuación les dejo la imagen.

[/color]

jdelhard · Mensaje por **jdelhard** » 31 Oct 2007, 18:37

[quote="msc hotline sat"]El caso es que decia que no encontraba ningun syssetup.dll, pues copie a mano el syssetub.dll como syssetup.dll , y asi verá porqué no puede crearlo el proceso, aqui estará la causa de la repeticion de las claves RUNONCE al no poder hacer lo que se le manda...

Y comentenos el resultado, gracias

saludos

ms, 31-10-2007[/quote]
[color=blue]

El que me sale es el syssetup.dll, el que no encuentro es el syssetub.dll.[/color]

Mensaje por **msc hotline sat** » 31 Oct 2007, 18:46

Pues ya elimina dichas claves que tienen el RUNONCE !

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 31-10-2007

jdelhard · Mensaje por **jdelhard** » 01 Nov 2007, 20:49

[quote="msc hotline sat"]Pues ya elimina dichas claves que tienen el RUNONCE !

saludos

ms, 31-10-2007[/quote]
[color=blue]

Bueno ya las eliminé, aqui el log de HJT, después de eliminarlas.

Por cierto ahora aparecen unas entradas que dicen ~~[b]~~[tscuninstall][/b]

[/color]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 05:46:27 a.m., on 01/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode with network support

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Notepad.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [AdobeUpdater] C:\Archivos de programa\Archivos comunes\Adobe\Updater5\AdobeUpdater.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV\QuickTV.exe

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\ARCHIV~1\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\ARCHIV~1\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsCtrls.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\pavsrv51.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Security\Panda Antivirus 2008\PsImSvc.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--

End of file - 5746 bytes

jdelhard · Mensaje por **jdelhard** » 02 Nov 2007, 04:51

[quote="msc hotline sat"]Dices que solo está en el D:, pues mira si está allí el otro fichero, ya que sin él no hace nada, es solo el fichero de configuracion o de lanzamiento, pero si no estuvieran los que lanza, no haría nada, y tampoco nosotros sin dicho RAVMON.EXE

saludos

ms, 30-10-2007[/quote]
[color=blue]

Que me dices, ya que no está el archivo RavMon, puedo eliminar el archivo Autorun del disco D:¿?[/color]

jdelhard · Mensaje por **jdelhard** » 02 Nov 2007, 04:54

[quote="jdelhard"][color=blue]

LLevaba la mañana entera leyendo aqui en el foro, cuando me decidí a seguir algunos pasos. Pero cuando inicié en modo a prueba de fallos con opciones de red e intenté configurar una cuenta para conectarme y pasar el http://www.zonavirus.com/antivirus-on-line/ me dejaba configurar, pero cuando llegaba a la parte que dice ¿Como desea conectarse a Internet? le puse Establecer mi conexiòn Manualmente y al darle siguiente sòlo me dejaba la opción de ~~[b]~~Conectarse usando una conexión de banda ancha que está siempre activa.[/b] Por lo cual no me puedo conectar en modo a prueba de fallos, ya que yo lo que tengo es una conexión Dial-Up...[/color][/quote]
[color=blue]

Es eso normal, es decir, ¿No puedo conectarme a Internet Dial-Up con la opción de Modo Seguro con Opciones de Red?[/color]

Mensaje por **msc hotline sat** » 02 Nov 2007, 06:41

Efectivamente, de nada sirve un AUTORUN.INF que lance el RAVMON.EXE , si este no existe:

[quote]Detectado AUTORUN.INF en la Unidad (C)

open=RavMon.exe [/quote]

y cierto, para acceder a Internet en modo seguro con funciones de Red se ha de tener XP o VISTA (no sirve W98) y ROUTER ADSL para el acceso a Internet.

Y ya dando por solucionado el Tema, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 2-11-2007

PC lenta y sospechosa (Problemas al abrir discos) (SOLVED)

PC lenta y sospechosa (Problemas al abrir discos) (SOLVED)

Especificaciones

HijackThis (Modo normal)

En ese sentido...

Re: PC lenta y sospechosa (Problemas al abrir discos)