No se si es VirusTroyano y no lo puedo eliminar(solucionado)

Espiridion Gonzalez · Mensaje por **Espiridion Gonzalez** » 08 Mar 2005, 07:50

Al encender mi computadora en modo normal, una vez que acaba de cargar, continua el disco duro trabajando y empieza a salir un aviso de windows de que me estoy quedando con poco espacio en C:, hasta que me dice que no tengo suficiente espacio.

Al abrir el administrador de tareas, tengo varios procesos svchost.exe corriendo, he probado cerrar algunos y en ocasiones se detiene el disco duro y puedo trabajar, pero si abro el Internet Explorer vuelve otra vez la actividad, ademas de estar sumamente lenta la maquina.

Llevo una semana tratando de encontrar la manera de eliminar al troyano, virus o lo que sea, ya corri el Norton y en un principio me detecto el "PWsteal.Trojan", pero no lo elimino, despues lo corri en modo a prueba de fallos y no detecta nada, probe en modo a prueba de fallos con funciones de red, a escanear en linea con vatios antivirus pero algunos detectan una cosa, otros otra y ninguno lo resuelve.

Aqui esta lo que me detecto el Panda Online:

Incidencia Estado Elemento

Adware:Adware/MyWay No desinfectado Registro de Windows

Adware:Adware/Lop No desinfectado C:\Archivos de programa\C2Media

Adware:Adware/KeenValue No desinfectado Registro de Windows

Adware:Adware/PowerScan No desinfectado C:\Archivos de programa\Power Scan

Adware:Adware/SAHAgent No desinfectado Registro de Windows

Adware:Adware/FunWeb No desinfectado C:\Archivos de programa\FunWebProducts

Spyware:Spyware/Searchcentrix No desinfectado Registro de Windows

Spyware:Spyware/TVMedia No desinfectado C:\Documents and Settings\Espiridion\Datos de programa\tvm*.dll

Adware:Adware/MediaTickets No desinfectado Registro de Windows

Adware:Adware/SideSearch No desinfectado C:\Documents and Settings\Espiridion\Datos de programa\Lycos

Adware:Adware/SideFind No desinfectado C:\Archivos de programa\SideFind

Adware:Adware/IEPlugin No desinfectado C:\WINDOWS\Downloaded Program Files\default.inf

Adware:Adware/Twain-Tech No desinfectado C:\WINDOWS\smdat32a.sys

Adware:Adware/MyWebSearch No desinfectado C:\Archivos de programa\MyWebSearch

Adware:Adware/SuperSpider No desinfectado Registro de Windows

Adware:Adware/Lop No desinfectado C:\Archivos de programa\C2Media\Setup.exe

Adware:Adware/Lop No desinfectado C:\Archivos de programa\cdromfivesend\flap exit.exe

Spyware:Spyware/Chast No desinfectado C:\WINDOWS\sb32mon.dll

Adware:Adware/MyWay No desinfectado C:\WINDOWS\system32\Xcite.exe

Adware:Adware/SAHAgent No desinfectado C:\WINDOWS\system32\xmlparse.dll

Adware:Adware/SAHAgent No desinfectado C:\WINDOWS\system32\xmltok.dll

Adware:Adware/123Messenger No desinfectado E:\resp30904\Descarga\Noadware\backups\backup-20040718-160305-557.inf

Adware:Adware/Lop No desinfectado E:\resp30904\Descarga\Noadware\backups\backup-20040718-160305-562.dll

Adware:Adware/FunWeb No desinfectado E:\resp30904\Descarga\Noadware\backups\backup-20050301-005614-431.inf

Virus:Trj/WmvDownloader.A Desinfectado F:\Mientras\Artistas\Britney Spears Porn cd1.wmv

Virus:Trj/WmvDownloader.A Desinfectado F:\Mientras\Artistas\Britney Spears Porn.wmv

Virus:W32/Mabutu.A.worm Desinfectado Hotmail\Elementos eliminados\I'm nude\photo.zip[photo.jpg.scr]

Incidencia Estado Elemento

Adware:Adware/MyWay No desinfectado Registro de Windows

Adware:Adware/FunWeb No desinfectado C:\Archivos de programa\FunWebProducts

Spyware:Spyware/Searchcentrix No desinfectado Registro de Windows

Spyware:Spyware/TVMedia No desinfectado C:\Documents and Settings\Espiridion\Datos de programa\tvm*.dll

Adware:Adware/MediaTickets No desinfectado Registro de Windows

Adware:Adware/SideSearch No desinfectado C:\Documents and Settings\Espiridion\Datos de programa\Lycos

Adware:Adware/SideFind No desinfectado C:\Archivos de programa\SideFind

Adware:Adware/IEPlugin No desinfectado C:\WINDOWS\Downloaded Program Files\default.inf

Adware:Adware/Twain-Tech No desinfectado C:\WINDOWS\smdat32a.sys

Adware:Adware/MyWebSearch No desinfectado Registro de Windows

Adware:Adware/Lop No desinfectado C:\Archivos de programa\cdromfivesend\flap exit.exe

Spyware:Spyware/Chast No desinfectado C:\WINDOWS\sb32mon.dll

Adware:Adware/SAHAgent No desinfectado C:\WINDOWS\system32\xmlparse.dll

Adware:Adware/SAHAgent No desinfectado C:\WINDOWS\system32\xmltok.dll Incidencia Estado Elemento

Adware:Adware/MyWay No desinfectado Registro de Windows

Adware:Adware/FunWeb No desinfectado C:\Archivos de programa\FunWebProducts

Spyware:Spyware/Searchcentrix No desinfectado Registro de Windows

Spyware:Spyware/TVMedia No desinfectado C:\Documents and Settings\Espiridion\Datos de programa\tvm*.dll

Adware:Adware/MediaTickets No desinfectado Registro de Windows

Adware:Adware/SideSearch No desinfectado C:\Documents and Settings\Espiridion\Datos de programa\Lycos

Adware:Adware/SideFind No desinfectado C:\Archivos de programa\SideFind

Adware:Adware/IEPlugin No desinfectado C:\WINDOWS\Downloaded Program Files\default.inf

Adware:Adware/Twain-Tech No desinfectado C:\WINDOWS\smdat32a.sys

Adware:Adware/MyWebSearch No desinfectado Registro de Windows

Adware:Adware/Lop No desinfectado C:\Archivos de programa\cdromfivesend\flap exit.exe

Adware:Adware/SAHAgent No desinfectado C:\WINDOWS\system32\xmlparse.dll

Adware:Adware/SAHAgent No desinfectado C:\WINDOWS\system32\xmltok.dll Incidencia Estado Elemento

Adware:Adware/MyWay No desinfectado Registro de Windows

Adware:Adware/IEPlugin No desinfectado C:\WINDOWS\Downloaded Program Files\default.inf

Adware:Adware/SuperSpider No desinfectado Registro de Windows ~~[b]~~Esto me detecto el Trojan Hunter:[/b]

Removed registry key HKEY_CURRENT_USER\Software\Ruboskizo\Instalador\barra

Removed registry key HKEY_CURRENT_USER\Software\Ruboskizo\Instalador

Removed registry key HKEY_CURRENT_USER\Software\Ruboskizo\msn4736

Removed registry key HKEY_CURRENT_USER\Software\Ruboskizo

Removed registry key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}\1.0\0\win32

Removed registry key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}\1.0\0

Removed registry key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}\1.0\FLAGS

Removed registry key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}\1.0\HELPDIR

Removed registry key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}\1.0

Removed registry key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}

Removed registry key HKEY_CLASSES_ROOT\Interface\{4D8E41A8-EC1F-4C53-A10D-9120232C71BB}\ProxyStubClsid

Removed registry key HKEY_CLASSES_ROOT\Interface\{4D8E41A8-EC1F-4C53-A10D-9120232C71BB}\ProxyStubClsid32

Removed registry key HKEY_CLASSES_ROOT\Interface\{4D8E41A8-EC1F-4C53-A10D-9120232C71BB}\TypeLib

Removed registry key HKEY_CLASSES_ROOT\Interface\{4D8E41A8-EC1F-4C53-A10D-9120232C71BB}

Removed registry key HKEY_CLASSES_ROOT\Interface\{2BDB4DA9-94FE-4034-AAC5-CEECDCB3A33B}\ProxyStubClsid

Removed registry key HKEY_CLASSES_ROOT\Interface\{2BDB4DA9-94FE-4034-AAC5-CEECDCB3A33B}\ProxyStubClsid32

Removed registry key HKEY_CLASSES_ROOT\Interface\{2BDB4DA9-94FE-4034-AAC5-CEECDCB3A33B}\TypeLib

Removed registry key HKEY_CLASSES_ROOT\Interface\{2BDB4DA9-94FE-4034-AAC5-CEECDCB3A33B}

Unable to open key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}

Removed registry key HKEY_CURRENT_USER\Software\ComSoft

Renamed file C:\WINDOWS\so_remove.exe to C:\WINDOWS\so_remove.exe.tcf

Renamed file C:\WINDOWS\system\AdBar.dll to C:\WINDOWS\system\AdBar.dll.tcf

Renamed file C:\WINDOWS\system32\Xcite.dll to C:\WINDOWS\system32\Xcite.dll.tcf

Renamed file E:\resp30904\Descarga\CloneCDen.exe to E:\resp30904\Descarga\CloneCDen.exe.tcf

Trojan cleaning finished.

En un escaneo con un antivirus Online me dice que tengo archivos y programas infectados con lo siguiente pero que no me puede desinfectar a menos que compre el Antivirus:

Backdoor.darkmoon

W97.melissa

A.value systems MoM Application

IMI SAerver IE Plugin Application

Virtumondo NewtonKnows Applicaton

Aserver Cookie

Finalmente, aqui esta lo que me reporta el Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 12:00:27 a.m., on 08/03/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\ARCHIV~1\WINABI~1\FOLDER~2\FGKEY.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mx.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://mx.yahoo.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.114.176.206:8080

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [WheelMouse] C:\E-WHEE~1\wh_exec.exe

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\WebCam Control\CAMTRAY.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.2\THGuard.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O20 - Winlogon Notify: FolderGuard - C:\ARCHIV~1\WINABI~1\FOLDER~2\FGuard32.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Todo lo anterior es en modo a prueba de fallos, que es la unica manera en la que puedo trabajar con la maquina.

Por ultimo, tengo Windows XP, actualizado con Service Pack 1 y 2 ademas las actualizaciones que van saliendo, asi como del Internet Explorer; tambien el Norton Antivirus esta actualizado y tengo el AdWare SE personal Build 1.05, el Trojan Hunter Ver. 4.2.

Ojala puedan ayudarme, se los agradecere muchisimo, si prefieren contestarme a mi correo, es: espiridiongonzalez@prodigy.net.mx

Gracias de antemano.

Espiridion Gonzalez Murua

Mensaje por **maura63** » 08 Mar 2005, 09:13

Desactiva restaurar sistema y en modo seguro elimina con hijackthis estas entradas

C:\ARCHIV~1\WINABI~1\FOLDER~2\FGKEY.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.114.176.206:8080

R3 - Default URLSearchHook is missing

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [WheelMouse] C:\E-WHEE~1\wh_exec.exe

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O20 - Winlogon Notify: FolderGuard - C:\ARCHIV~1\WINABI~1\FOLDER~2\FGuard32.dll

*********************************************

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.114.176.206:8080

IP Address

IP Location: Korea, Republic Of - Kyonggi-do - Seoul - Kyungsangnamdokyoyoukcheongjinyang High School

**********************************************

Del mismo modo pasa Ad_aware, Spybot y tu antivirus.

Todo lo que detecte los anti-spywares lo eliminas.

Saludos

maura63

Espiridion Gonzalez · Mensaje por **Espiridion Gonzalez** » 09 Mar 2005, 00:14

[quote="Espiridion Gonzalez"]Al encender mi computadora en modo normal, una vez que acaba de cargar, continua el disco duro trabajando y empieza a salir un aviso de windows de que me estoy quedando con poco espacio en C:, hasta que me dice que no tengo suficiente espacio.

Al abrir el administrador de tareas, tengo varios procesos svchost.exe corriendo, he probado cerrar algunos y en ocasiones se detiene el disco duro y puedo trabajar, pero si abro el Internet Explorer vuelve otra vez la actividad, ademas de estar sumamente lenta la maquina.

Llevo una semana tratando de encontrar la manera de eliminar al troyano, virus o lo que sea, ya corri el Norton y en un principio me detecto el "PWsteal.Trojan", pero no lo elimino, despues lo corri en modo a prueba de fallos y no detecta nada, probe en modo a prueba de fallos con funciones de red, a escanear en linea con vatios antivirus pero algunos detectan una cosa, otros otra y ninguno lo resuelve.

Aqui esta lo que me detecto el Panda Online:

Incidencia Estado Elemento

Adware:Adware/MyWay No desinfectado Registro de Windows

Adware:Adware/Lop No desinfectado C:\Archivos de programa\C2Media

Adware:Adware/KeenValue No desinfectado Registro de Windows

Adware:Adware/PowerScan No desinfectado C:\Archivos de programa\Power Scan

Adware:Adware/SAHAgent No desinfectado Registro de Windows

Adware:Adware/FunWeb No desinfectado C:\Archivos de programa\FunWebProducts

Spyware:Spyware/Searchcentrix No desinfectado Registro de Windows

Spyware:Spyware/TVMedia No desinfectado C:\Documents and Settings\Espiridion\Datos de programa\tvm*.dll

Adware:Adware/MediaTickets No desinfectado Registro de Windows

Adware:Adware/SideSearch No desinfectado C:\Documents and Settings\Espiridion\Datos de programa\Lycos

Adware:Adware/SideFind No desinfectado C:\Archivos de programa\SideFind

Adware:Adware/IEPlugin No desinfectado C:\WINDOWS\Downloaded Program Files\default.inf

Adware:Adware/Twain-Tech No desinfectado C:\WINDOWS\smdat32a.sys

Adware:Adware/MyWebSearch No desinfectado C:\Archivos de programa\MyWebSearch

Adware:Adware/SuperSpider No desinfectado Registro de Windows

Adware:Adware/Lop No desinfectado C:\Archivos de programa\C2Media\Setup.exe

Adware:Adware/Lop No desinfectado C:\Archivos de programa\cdromfivesend\flap exit.exe

Spyware:Spyware/Chast No desinfectado C:\WINDOWS\sb32mon.dll

Adware:Adware/MyWay No desinfectado C:\WINDOWS\system32\Xcite.exe

Adware:Adware/SAHAgent No desinfectado C:\WINDOWS\system32\xmlparse.dll

Adware:Adware/SAHAgent No desinfectado C:\WINDOWS\system32\xmltok.dll

Adware:Adware/123Messenger No desinfectado E:\resp30904\Descarga\Noadware\backups\backup-20040718-160305-557.inf

Adware:Adware/Lop No desinfectado E:\resp30904\Descarga\Noadware\backups\backup-20040718-160305-562.dll

Adware:Adware/FunWeb No desinfectado E:\resp30904\Descarga\Noadware\backups\backup-20050301-005614-431.inf

Virus:Trj/WmvDownloader.A Desinfectado F:\Mientras\Artistas\Britney Spears Porn cd1.wmv

Virus:Trj/WmvDownloader.A Desinfectado F:\Mientras\Artistas\Britney Spears Porn.wmv

Virus:W32/Mabutu.A.worm Desinfectado Hotmail\Elementos eliminados\I'm nude\photo.zip[photo.jpg.scr]

Incidencia Estado Elemento

Adware:Adware/MyWay No desinfectado Registro de Windows

Adware:Adware/FunWeb No desinfectado C:\Archivos de programa\FunWebProducts

Spyware:Spyware/Searchcentrix No desinfectado Registro de Windows

Spyware:Spyware/TVMedia No desinfectado C:\Documents and Settings\Espiridion\Datos de programa\tvm*.dll

Adware:Adware/MediaTickets No desinfectado Registro de Windows

Adware:Adware/SideSearch No desinfectado C:\Documents and Settings\Espiridion\Datos de programa\Lycos

Adware:Adware/SideFind No desinfectado C:\Archivos de programa\SideFind

Adware:Adware/IEPlugin No desinfectado C:\WINDOWS\Downloaded Program Files\default.inf

Adware:Adware/Twain-Tech No desinfectado C:\WINDOWS\smdat32a.sys

Adware:Adware/MyWebSearch No desinfectado Registro de Windows

Adware:Adware/Lop No desinfectado C:\Archivos de programa\cdromfivesend\flap exit.exe

Spyware:Spyware/Chast No desinfectado C:\WINDOWS\sb32mon.dll

Adware:Adware/SAHAgent No desinfectado C:\WINDOWS\system32\xmlparse.dll

Adware:Adware/SAHAgent No desinfectado C:\WINDOWS\system32\xmltok.dll Incidencia Estado Elemento

Adware:Adware/MyWay No desinfectado Registro de Windows

Adware:Adware/FunWeb No desinfectado C:\Archivos de programa\FunWebProducts

Spyware:Spyware/Searchcentrix No desinfectado Registro de Windows

Spyware:Spyware/TVMedia No desinfectado C:\Documents and Settings\Espiridion\Datos de programa\tvm*.dll

Adware:Adware/MediaTickets No desinfectado Registro de Windows

Adware:Adware/SideSearch No desinfectado C:\Documents and Settings\Espiridion\Datos de programa\Lycos

Adware:Adware/SideFind No desinfectado C:\Archivos de programa\SideFind

Adware:Adware/IEPlugin No desinfectado C:\WINDOWS\Downloaded Program Files\default.inf

Adware:Adware/Twain-Tech No desinfectado C:\WINDOWS\smdat32a.sys

Adware:Adware/MyWebSearch No desinfectado Registro de Windows

Adware:Adware/Lop No desinfectado C:\Archivos de programa\cdromfivesend\flap exit.exe

Adware:Adware/SAHAgent No desinfectado C:\WINDOWS\system32\xmlparse.dll

Adware:Adware/SAHAgent No desinfectado C:\WINDOWS\system32\xmltok.dll Incidencia Estado Elemento

Adware:Adware/MyWay No desinfectado Registro de Windows

Adware:Adware/IEPlugin No desinfectado C:\WINDOWS\Downloaded Program Files\default.inf

Adware:Adware/SuperSpider No desinfectado Registro de Windows ~~[b]~~Esto me detecto el Trojan Hunter:[/b]

Removed registry key HKEY_CURRENT_USER\Software\Ruboskizo\Instalador\barra

Removed registry key HKEY_CURRENT_USER\Software\Ruboskizo\Instalador

Removed registry key HKEY_CURRENT_USER\Software\Ruboskizo\msn4736

Removed registry key HKEY_CURRENT_USER\Software\Ruboskizo

Removed registry key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}\1.0\0\win32

Removed registry key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}\1.0\0

Removed registry key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}\1.0\FLAGS

Removed registry key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}\1.0\HELPDIR

Removed registry key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}\1.0

Removed registry key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}

Removed registry key HKEY_CLASSES_ROOT\Interface\{4D8E41A8-EC1F-4C53-A10D-9120232C71BB}\ProxyStubClsid

Removed registry key HKEY_CLASSES_ROOT\Interface\{4D8E41A8-EC1F-4C53-A10D-9120232C71BB}\ProxyStubClsid32

Removed registry key HKEY_CLASSES_ROOT\Interface\{4D8E41A8-EC1F-4C53-A10D-9120232C71BB}\TypeLib

Removed registry key HKEY_CLASSES_ROOT\Interface\{4D8E41A8-EC1F-4C53-A10D-9120232C71BB}

Removed registry key HKEY_CLASSES_ROOT\Interface\{2BDB4DA9-94FE-4034-AAC5-CEECDCB3A33B}\ProxyStubClsid

Removed registry key HKEY_CLASSES_ROOT\Interface\{2BDB4DA9-94FE-4034-AAC5-CEECDCB3A33B}\ProxyStubClsid32

Removed registry key HKEY_CLASSES_ROOT\Interface\{2BDB4DA9-94FE-4034-AAC5-CEECDCB3A33B}\TypeLib

Removed registry key HKEY_CLASSES_ROOT\Interface\{2BDB4DA9-94FE-4034-AAC5-CEECDCB3A33B}

Unable to open key HKEY_CLASSES_ROOT\TypeLib\{7D49A157-A1EB-4538-8B0D-6AC430C92D0B}

Removed registry key HKEY_CURRENT_USER\Software\ComSoft

Renamed file C:\WINDOWS\so_remove.exe to C:\WINDOWS\so_remove.exe.tcf

Renamed file C:\WINDOWS\system\AdBar.dll to C:\WINDOWS\system\AdBar.dll.tcf

Renamed file C:\WINDOWS\system32\Xcite.dll to C:\WINDOWS\system32\Xcite.dll.tcf

Renamed file E:\resp30904\Descarga\CloneCDen.exe to E:\resp30904\Descarga\CloneCDen.exe.tcf

Trojan cleaning finished.

En un escaneo con un antivirus Online me dice que tengo archivos y programas infectados con lo siguiente pero que no me puede desinfectar a menos que compre el Antivirus:

Backdoor.darkmoon

W97.melissa

A.value systems MoM Application

IMI SAerver IE Plugin Application

Virtumondo NewtonKnows Applicaton

Aserver Cookie

Finalmente, aqui esta lo que me reporta el Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 12:00:27 a.m., on 08/03/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\ARCHIV~1\WINABI~1\FOLDER~2\FGKEY.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mx.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://mx.yahoo.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.114.176.206:8080

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [WheelMouse] C:\E-WHEE~1\wh_exec.exe

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\WebCam Control\CAMTRAY.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.2\THGuard.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O20 - Winlogon Notify: FolderGuard - C:\ARCHIV~1\WINABI~1\FOLDER~2\FGuard32.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Todo lo anterior es en modo a prueba de fallos, que es la unica manera en la que puedo trabajar con la maquina.

Por ultimo, tengo Windows XP, actualizado con Service Pack 1 y 2 ademas las actualizaciones que van saliendo, asi como del Internet Explorer; tambien el Norton Antivirus esta actualizado y tengo el AdWare SE personal Build 1.05, el Trojan Hunter Ver. 4.2.

Ojala puedan ayudarme, se los agradecere muchisimo, si prefieren contestarme a mi correo, es: espiridiongonzalez@prodigy.net.mx

Gracias de antemano.

Espiridion Gonzalez Murua[/quote]

Maura63

Gracias por tu ayuda, lo voy a hacer y te comento como me fue, solo una duda antes de hacerlo, de todo lo que sugieres eliminar, las siguientes lineas son de algunos programas que tengo instalados:

C:\ARCHIV~1\WINABI~1\FOLDER~2\FGKEY.EXE

O20 - Winlogon Notify: FolderGuard -

C:\ARCHIV~1\WINABI~1\FOLDER~2\FGuard32.dll

Estas 3 son del programa Folderguard v. 0.5.0.4 del 15/02/2004, el cual tengo configurado para que se cargue automaticamente con Windows y su funcion es ocultar archivos o carpetas, o bloquear el acceso a los mismos, solo lo desactivo al hacer revision antivirus o mantenimiento del disco. Mi duda es, si es necesario desactivarlo, y una vez limpia la maquina lo puedo volver a cargar?

Esta otra es del Mouse optico con Scroll.

O4 - HKLM\..\Run: [WheelMouse] C:\E-WHEE~1\wh_exec.exe

Y finalmente, esta otra es del programa WebShots, con el que descargas fotos para papel tapiz:

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

Con las demas, no creo que haya problema.

Acabo de correr el Hijack en modo normal y aprovecho para mandarte el Log y me des tus comentarios.

Te agradezco mucho tu ayuda.

Logfile of HijackThis v1.99.1

Scan saved at 4:21:46 p.m., on 08/03/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\ARCHIV~1\WINABI~1\FOLDER~2\FGKEY.EXE

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Creative\WebCam Control\CAMTRAY.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\webshots.scr

C:\Archivos de programa\Messenger\msmsgs.exe

C:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mx.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://mx.yahoo.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.114.176.206:8080

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [WheelMouse] C:\E-WHEE~1\wh_exec.exe

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\WebCam Control\CAMTRAY.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.2\THGuard.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O20 - Winlogon Notify: FolderGuard - C:\ARCHIV~1\WINABI~1\FOLDER~2\FGuard32.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Gracias y espero tu respuesta.

Espiridion Gonzalez Murua

Mensaje por **maura63** » 09 Mar 2005, 09:09

Te siguen quedando estas, por lo demas todo bien.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.114.176.206:8080

R3 - Default URLSearchHook is missing

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Eliminalas en modo seguro pero desactiva antes restaurar sistema.

Saludos

maura63

Mensaje por **maura63** » 09 Mar 2005, 10:26

Comentanos tambien si pasastes Spybot y Ad_aware arrancando en modo seguro y desactivando antes la restauracion del sistema.

Los spywares, malware..etc al no ser virus propiamente dicho los antivirus pueden reconocerlo pero no limpiarlo.

Te lo comento por lo que incluyes en tus comentarios sobre el problema.

Saludos

maura63

Espiridion Gonzalez · Mensaje por **Espiridion Gonzalez** » 10 Mar 2005, 09:48

[quote="maura63"]Comentanos tambien si pasastes Spybot y Ad_aware arrancando en modo seguro y desactivando antes la restauracion del sistema.

Los spywares, malware..etc al no ser virus propiamente dicho los antivirus pueden reconocerlo pero no limpiarlo.

Te lo comento por lo que incluyes en tus comentarios sobre el problema.

Saludos

maura63[/quote]

Hola de nuevo:

De hecho ya tengo desactivado restaurar sistema, no lo he activado hasta no arreglar el problema.

Ya borre las claves que me dijiste, pase el adware y solo me detecto una cookie, la cual elimime, tambien pase el trojan hunter y no me detecto nada, despues pase el norton y me detecto 2 archivos con el virus PWstheal.Trojan, los cuales elimino al terminar el analisis, pase el CWshreder y no detecto nada, visto eso, arranque en modo normal y otra vez lo mismo, el disco no para de trabajar y me dice que me estoy quedando sin espacio, intente correr el norton y a medio camino se parao porque supuestamente ya no tenia espacio la unidad. Asi que volvi a reiniciar en modo seguro, hice todo lo anterior y no encontro nada, luego revise con panda online y me encontro lo siguiente:

Incidencia Estado Elemento

Adware:Adware/MyWay No desinfectado Registro de Windows

Adware:Adware/IEPlugin No desinfectado C:\WINDOWS\Downloaded Program Files\default.inf

Despues corri el Hikack y este es el log:

Logfile of HijackThis v1.99.1

Scan saved at 2:14:59 a.m., on 10/03/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mx.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://mx.yahoo.com/

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [WheelMouse] C:\E-WHEE~1\wh_exec.exe

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\WebCam Control\CAMTRAY.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 4.2\THGuard.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

Hago la aclaracion que antes de estos dos ultimos pasos, borre todo lo que estaba en el directorio %Temp% y tambien corri el DiskCleaner y borre todo lo que encontro, tambien se me pasaba comentarles que al terminar el escaneo el Panda Online, sale una pantalla que dice "Nombre del Perfil" y trae marcado Outlook, la cual no se si la mande panda o que, asi es que la cierro de la esquina superior derecha.

Volvi a pasar el Norton y el Adware y el Trojan Hunter y no encuentran nada.

No quiero arrancar en modo normal hasta no estar seguro de haber eliminado el problema, asi es que les agradecere su respuesta en cuanto sea posible; por lo pronto me voy a dormir porque aqui en San Luis Potosi, Mexico van a ser las 3 de la mañana y entro a trabajar a las 8 A.M., ojala cuando regrese ya me hayan contestado.

Muchas gracias.

Mensaje por **maura63** » 10 Mar 2005, 09:56

Esta limpio.

Saludos

maura63

Mensaje por **msc hotline sat** » 10 Mar 2005, 10:05

Por lo indicado por Maura63 el Tema ha quedado solucionado, por lo que se procede a cerrarlo

No se si es VirusTroyano y no lo puedo eliminar(solucionado)

No se si es VirusTroyano y no lo puedo eliminar(solucionado)

Re: No se si es Virus, Troyano o que y no lo puedo eliminar?