Ayer envie mi Hijackthis y según me informasteis esta limpio. Actualmente tengo instalado Panda (actualizo todos los días).Ademas tengo el ad-aware y el spybot y me detecta nada, pero cuando paso el active-scan on-line de panda me indica que hay archivos infectados en el registro de windows.
A continuación os indico lo que me sale:
Incidencia Estado Elemento
Adware:Adware/Gator No desinfectado C:\DOCUME~1\UYT\CONFIG~1\Temp\bundle.inf
Adware:Adware/nCase No desinfectado Registro de Windows
Adware:Adware/Twain-Tech No desinfectado C:\WINDOWS\smdat32m.sys
Adware:Adware/P2PNetworking No desinfectado C:\WINDOWS\system32\P2P Networking
Adware:Adware/P2PNetworking No desinfectado C:\Documents and Settings\UYT\Configuración local\Temp\p2psetup.exe
Adware:Adware/P2PNetworking No desinfectado C:\WINDOWS\system32\P2P Networking\MARSHAL.DLL
Adware:Adware/P2PNetworking No desinfectado C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
Adware:Adware/P2PNetworking No desinfectado C:\WINDOWS\system32\P2P Networking v126.cpl
¿ Podria alguien ayudarme, por favor, indiquenme que debo hacer para solucionar este problema ?
virus en el registro de windows
Haz que se vean todos los archivos y envíanos un nuevo log del Hijack en Modo Normal:
Para configurar Windows XP para que muestre las extensiones de archivo:
Haga clic en Mi PC.
Haga clic en el menú Herramientas, y después en Opciones de carpeta.
Haga clic en la pestaña Ver.
Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".
En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".
Quite la marca en "Ocultar archivos protegidos del sistema operativo".
Haga clic en Aplicar, y después en Aceptar.
Salu2
Caito
Para configurar Windows XP para que muestre las extensiones de archivo:
Haga clic en Mi PC.
Haga clic en el menú Herramientas, y después en Opciones de carpeta.
Haga clic en la pestaña Ver.
Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".
En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".
Quite la marca en "Ocultar archivos protegidos del sistema operativo".
Haga clic en Aplicar, y después en Aceptar.
Salu2
Caito
Desactivando restaurar sistema y encendiendo en modo seguro los problemas como GATOR que tienes los eliminaras sin mayor dificultad.
Eso si, cuando instales el Spybot recuerda que tambien hay que actualizarlo.
Saludos
maura63
Eso si, cuando instales el Spybot recuerda que tambien hay que actualizarlo.
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Especialmente se recomienda seguir los tutoriales de virus y spyware:
https://foros.zonavirus.com/viewtopic.php?t=5370
saludos
ms, 18-03-2005
saludos
ms, 18-03-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
informe del active-scan de panda
Tras hacer todo lo que me indicaste te adjunto el informe del active-scan de panda:
Incidencia Estado Elemento
Adware:Adware/nCase No desinfectado Registro de Windows
No se como puedo encontrar este virus en el registro de windows porque no me indica que archivo esta infectado.
Necesito quitar de una vez por todas estos virus, que no hay forma de conseguir eliminarlos por completo.
Móly
Incidencia Estado Elemento
Adware:Adware/nCase No desinfectado Registro de Windows
No se como puedo encontrar este virus en el registro de windows porque no me indica que archivo esta infectado.
Necesito quitar de una vez por todas estos virus, que no hay forma de conseguir eliminarlos por completo.
Móly
Para poder saber si tienes algo malo es menester que nos pongas el log que te arroja el hijack, pero asegúrate que sea en modo normal y con todas las aplicaciones cerradas.
antes haz esto :
Para configurar Windows XP para que muestre las extensiones de archivo:
Haga clic en Mi PC.
Haga clic en el menú Herramientas, y después en Opciones de carpeta.
Haga clic en la pestaña Ver.
Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".
En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".
Quite la marca en "Ocultar archivos protegidos del sistema operativo".
Haga clic en Aplicar, y después en Aceptar.
Ahora cierra todo y toma el log.
Salu2
Caito
antes haz esto :
Para configurar Windows XP para que muestre las extensiones de archivo:
Haga clic en Mi PC.
Haga clic en el menú Herramientas, y después en Opciones de carpeta.
Haga clic en la pestaña Ver.
Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".
En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".
Quite la marca en "Ocultar archivos protegidos del sistema operativo".
Haga clic en Aplicar, y después en Aceptar.
Ahora cierra todo y toma el log.
Salu2
Caito
Tras haber efectuado los cambios que me indicaste en Opciones de carpeta, a continuación te mando el log.
Logfile of HijackThis v1.99.1
Scan saved at 22:03:16, on 19/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\apvxdwin.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\UYT\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es/
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110734064406
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) -http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4443/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E40D8EA-2959-455C-8343-7D9F83BE7419}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Servicio del iPod (iPodService) - Unknown owner - C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
Logfile of HijackThis v1.99.1
Scan saved at 22:03:16, on 19/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\apvxdwin.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\UYT\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E40D8EA-2959-455C-8343-7D9F83BE7419}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Servicio del iPod (iPodService) - Unknown owner - C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
Lo único que veo para borrar es esta entrada :
O23 - Service: Servicio del iPod (iPodService) - Unknown owner - C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)
Pero como el hijack a veces mete la pata con las 023 te la dejé en el otro post, si no usas ese servicio (iPodService)puedes borrarla con el hijack, pero no es peligrosa, más bien innecesaria.
Otra cosa no veo:shock:
Salu2
Caito
O23 - Service: Servicio del iPod (iPodService) - Unknown owner - C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)
Pero como el hijack a veces mete la pata con las 023 te la dejé en el otro post, si no usas ese servicio (iPodService)puedes borrarla con el hijack, pero no es peligrosa, más bien innecesaria.
Otra cosa no veo
Salu2
Caito
Ya se que me lo dijiste anteriormente pero no puedo borrarla, vuelve a aparecer. Ademas no se de que se trata
C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)
Pero por favor, me puedes responder como elimino lo del registro de windows que me sale en el active-scan de panda. Cada vez que paso active-scan me sale el adware/ncase no desinfectado.
He probado a eliminar manualmente tal y como indica Panda, siguiendo las siguientes instrucciones:
nCase crea los siguientes archivos:
• Un archivo de nombre aleatorio y extensión EXE en el directorio de Windows.
• 180SAINSTALLER.DLL y 180SALIB.DLL en el directorio Downloaded Program Files, dentro del directorio de Windows. Estos archivos son DLLs (Librerías de Enlace Dinámico).
• Varios archivos dentro de una subcarpeta llamada 180SEARCH ASSISTANT, creada por nCase dentro del directorio Archivos de Programa.
nCase crea las siguientes entradas en el Registro de Windows:
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
%entrada% = %windir%\ %archivo%.exe
donde %windir% es el directorio de Windows, y %entrada% y %archivo% son los nombres aleatorios de la entrada y el archivo creados.
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
msbb = %ArchivosPrograma%\ 180search assistant\ msbb.exe
donde %ArchivosPrograma% es el directorio de Archivos de Programa.
Mediante estas entradas, nCase consigue ejecutarse cada vez que Windows se inicia.
• HKEY_CLASSES_ROOT\ 180SAInstaller.180SAInstaller
• HKEY_CLASSES_ROOT\ CLSID\ {B10031B2-F184-4803-9A88-D239C0641D70}
• HKEY_CLASSES_ROOT\ Interface\ {DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
• HKEY_CLASSES_ROOT\ TypeLib\ {F2BF4713-E933-4B66-8694-22ED243709C7}
• HKEY_CURRENT_USER\ Software\ 180solutions
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Bar =http://best-search.cc/search.php *
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Page =http://best-search.cc/search.php *
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page =http://best-search.cc/search.php *
• HKEY_CURRENT_USER\ Software\ msbb
• HKEY_LOCAL_MACHINE\ Software\ 180solutions
• HKEY_LOCAL_MACHINE\ Software\ Classes\ 180SAInstaller.180SAInstaller
• HKEY_LOCAL_MACHINE\ Software\ Classes\ CLSID\ {B10031B2-F184-4803-9A88-D239C0641D70}
• HKEY_LOCAL_MACHINE\ Software\ Classes\ TypeLib\ {F2BF4713-E933-4B66-8694-22ED243709C7}
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Code Store Database\ Distribution Units\ {B10031B2-F184-4803-9A88-D239C0641D70}
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ ModuleUsage\ %windir%\ Downloaded Program Files\ 180SAInstaller.dll
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ ModuleUsage\ %windir%\ Downloaded Program Files\ 180SALib.dll
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ msbb
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ SharedDLLs
%windir%\ Downloaded Program Files\ 180SAInstaller.dll
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ SharedDLLs
%windir%\ Downloaded Program Files\ 180SALib.dll
• HKEY_LOCAL_MACHINE\ Software\ msbb
• HKEY_USERS\ .DEFAULT\ Software\ Microsoft\ Internet Explorer\ Main
Search Bar =http://best-search.cc/search.php *
• HKEY_USERS\ .DEFAULT\ Software\ Microsoft\ Internet Explorer\ Main
Search Page =http://best-search.cc/search.php *
• HKEY_USERS\ .DEFAULT\ Software\ Microsoft\ Internet Explorer\ Main
Start Page =http://best-search.cc/search.php *
Tras haber comprobado una por una todas esta filas, he detectado 2 filas denominadas 180search assistant y las he eliminado, he reiniciado el equipo y he vuelto a pasar el active-scan de Panda, pero volvió a salir el adware/ncase.
¿ es peligroso ?
He leido en la enciclopedia de antivirus de panda que se trata de un spy sobre las páginas visitadas de internet para mandar publicidad y todo eso, pero como tú comprenderás no me hace ninguna gracia estar infectada por n/case.
¿ existe alguna solución al respeco ?
Moly[/u]
C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)
Pero por favor, me puedes responder como elimino lo del registro de windows que me sale en el active-scan de panda. Cada vez que paso active-scan me sale el adware/ncase no desinfectado.
He probado a eliminar manualmente tal y como indica Panda, siguiendo las siguientes instrucciones:
nCase crea los siguientes archivos:
• Un archivo de nombre aleatorio y extensión EXE en el directorio de Windows.
• 180SAINSTALLER.DLL y 180SALIB.DLL en el directorio Downloaded Program Files, dentro del directorio de Windows. Estos archivos son DLLs (Librerías de Enlace Dinámico).
• Varios archivos dentro de una subcarpeta llamada 180SEARCH ASSISTANT, creada por nCase dentro del directorio Archivos de Programa.
nCase crea las siguientes entradas en el Registro de Windows:
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
%entrada% = %windir%\ %archivo%.exe
donde %windir% es el directorio de Windows, y %entrada% y %archivo% son los nombres aleatorios de la entrada y el archivo creados.
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
msbb = %ArchivosPrograma%\ 180search assistant\ msbb.exe
donde %ArchivosPrograma% es el directorio de Archivos de Programa.
Mediante estas entradas, nCase consigue ejecutarse cada vez que Windows se inicia.
• HKEY_CLASSES_ROOT\ 180SAInstaller.180SAInstaller
• HKEY_CLASSES_ROOT\ CLSID\ {B10031B2-F184-4803-9A88-D239C0641D70}
• HKEY_CLASSES_ROOT\ Interface\ {DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD}
• HKEY_CLASSES_ROOT\ TypeLib\ {F2BF4713-E933-4B66-8694-22ED243709C7}
• HKEY_CURRENT_USER\ Software\ 180solutions
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Bar =
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Page =
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page =
• HKEY_CURRENT_USER\ Software\ msbb
• HKEY_LOCAL_MACHINE\ Software\ 180solutions
• HKEY_LOCAL_MACHINE\ Software\ Classes\ 180SAInstaller.180SAInstaller
• HKEY_LOCAL_MACHINE\ Software\ Classes\ CLSID\ {B10031B2-F184-4803-9A88-D239C0641D70}
• HKEY_LOCAL_MACHINE\ Software\ Classes\ TypeLib\ {F2BF4713-E933-4B66-8694-22ED243709C7}
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Code Store Database\ Distribution Units\ {B10031B2-F184-4803-9A88-D239C0641D70}
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ ModuleUsage\ %windir%\ Downloaded Program Files\ 180SAInstaller.dll
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ ModuleUsage\ %windir%\ Downloaded Program Files\ 180SALib.dll
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ msbb
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ SharedDLLs
%windir%\ Downloaded Program Files\ 180SAInstaller.dll
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ SharedDLLs
%windir%\ Downloaded Program Files\ 180SALib.dll
• HKEY_LOCAL_MACHINE\ Software\ msbb
• HKEY_USERS\ .DEFAULT\ Software\ Microsoft\ Internet Explorer\ Main
Search Bar =
• HKEY_USERS\ .DEFAULT\ Software\ Microsoft\ Internet Explorer\ Main
Search Page =
• HKEY_USERS\ .DEFAULT\ Software\ Microsoft\ Internet Explorer\ Main
Start Page =
Tras haber comprobado una por una todas esta filas, he detectado 2 filas denominadas 180search assistant y las he eliminado, he reiniciado el equipo y he vuelto a pasar el active-scan de Panda, pero volvió a salir el adware/ncase.
¿ es peligroso ?
He leido en la enciclopedia de antivirus de panda que se trata de un spy sobre las páginas visitadas de internet para mandar publicidad y todo eso, pero como tú comprenderás no me hace ninguna gracia estar infectada por n/case.
¿ existe alguna solución al respeco ?
Moly[/u]