gaobot.fu nwiz.exe

[pepetony]

Hola, tengo un troyano q no hay ,manera de quitarlo, he seguido los pasos de la página de vsantivirus, he borado todas las entradas del registro, archivos temporales internet, cookies, he qitado restauracion sistema xp, lo he arrancado en modo sehuro, he pasado ad.aware spybot, kasperky y panda online, y cada vez el tio se mete en inicio.mando el log de hijackthis :





Logfile of HijackThis v1.99.0

Scan saved at 21:24:13, on 30/12/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\down\PASAKCHE.EXE

D:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

D:\WINDOWS\System32\ctfmon.exe

D:\Archivos de programa\BitComet\BitComet.exe

D:\Archivos de programa\GreenBrowser\GreenBrowser.exe

D:\totalcmd\TOTALCMD.EXE

D:\down\matavirus\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\ARCHIV~1\FlashFXP\IEFlash.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AgenteADSL_15] D:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 3

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [PasaKche] D:\down\PASAKCHE.EXE

O4 - HKLM\..\Run: [KAVPersonal50] D:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [AWMON] "D:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [PPMemCheck] D:\ARCHIV~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] D:\ARCHIV~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [CookiePatrol] D:\ARCHIV~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097270005982

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://apuc.cert.fnmt.es/cabs/capicom.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3B11FB78-9033-48E1-82FB-B11B2C9A7440}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{B483846A-151A-407D-9EA9-CF763760BE8B}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{3B11FB78-9033-48E1-82FB-B11B2C9A7440}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: Servicio del administrador de discos lógicos - Unknown - D:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - D:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - D:\WINDOWS\System32\imapi.exe

O23 - Service: kavsvc - Kaspersky Lab - D:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - D:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - D:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - D:\WINDOWS\system32\netdde.exe

O23 - Service: Plug and Play - Unknown - D:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - D:\WINDOWS\System32\wbem\wmiapsrv.exe



El archivo que me da el coñazo es el nwiz.exe, no se si hay algo más, también hay una cosa en inicio que me mosquea :



Nvcpl rundll32.exe d:\windows\system32\nvcpl.dll,nvstarup



esta linea creo recordar que no aparecia en inicio pero no estoy seguro si pertenece al sistema.





gracias y perdon por el rollo



birras pa tos

[flacoroo]

usa este programa....



BUSCAREG.EXE: BUSCA UNA CADENA EN EL REGISTRO Y PINCHANDO ENCIMA DE LAS ENCONTRADAS PERMITE BORRARLAS MUY FACILMENTE. ADEMAS CREA FICHERO EXPORTACION DEL REGISTRO POR SI SE NECESITA VOLVER ATRAS:



http://www.zonavirus.com/descargas/buscareg.asp



y borra estos archivos, ya que a lo mejor haya s borrado el troyano pero no una referencia a un registro que haya dejado...pones primero un nombre y te saldra y le das doble click sobre una linea y te dira si lo deseas borrar o no....y asi despues el otro hats quetermines...ojo solo el nombre solo no compuesto....



nvcpl.dll,nvstarup

[caito]

Ese archivo puede ser legal si tienes una tarjeta de video Nvidia.

Baja el Nod32 trial :

http://u4.eset.com/eval/win/v2/ne98spst.exe

ejecútalo , actualízalo y haz un scaneo de tu pc ( desactiva momentáneamente tu antivirus ).

Cuenta lo que te encontró.

Salu2

Caito

[pepetony]

Hola, he pasado el nod32 para xp, y no ha detectado nada, lo que al buscar en el disco duro el nwiz.exe lo encuentra en los archivos temporales de internet como gaobot.fu.nwiz.exe.htm, ahora recuerdo que mi hermana entro en na página y salto el Kaspersky, lo he borrado el disco y en el registro con el regseker y sigue saliendo. Al preguntar información con el hijackthis dice que puede ser un troyano. Lo intento borrar del registro pero vuelve a salir, y otra cosa rara es que tenia desactivado en inicio el mixer y ahora siempre se carga q raro



gracias y birras patos



p.d. feliz año a todos

[caito]

Asegúrate que se vean todos los archivos :

Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.



Baja este programa :



http://www.xs4all.nl/~mp2004/



Borra Archivos innecesarios con el.

Vacía la papelera.



pasa el adAware Se actualizado.

Toma un nuevo log con el hijack y postealo.

Salu2

Caito

[pepetony]

Hola gracias ante todo por vuestro tiempo, de momento he conseguido quitar del inicio em nwiz.exe, lo que no me habia dado cuenta es que el pc me iba un poco lento, y mi sorpresa fue q tenia 128 megas de ram, Y tengo dos pastillas de 128 total 256, hace unos dias en el arranque aparecia 256 pero ahora en el arranque y en informacion del sistema aparecen 128,encima quito una pastilla y me baja a 64 megas, la vuelvo a poner y me vuelven ha aparecer 128. ¿ se habrá jodido las dos pastillas?? yo lo encuentro raro, ¿ el jodio virus habra jodio la bios?

gracias