SYSMON32.EXE ... cómo borrarlo??

[Guest®]

También llamado Aidid, creo.

encuentro info en Google, pero no logro eliminarlo, salen cosas que no entiendo, y cuando lo busco en mi pc donde se supone debe estar, no lo veo.

alguien que sepa cómo eliminarlo? alguna pagina donde salga bien? o algún antivirus efectivo contra ESE virus/gusano?



se agradece de antemano.

[msc hotline sat]

Hay dos virus que utilizan un mismo nombre para su gusano, el que Vd indica, qie lo copia en el directorio de sistema, y el shower.j que lo hace en el directorio de windows:



http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.shower.j.html



Como sea que Vd indica no encontrarlo en el directorio donde lo busca, que supongo que es en el de sistema, vea si lo crea en el de windows, y si es así se trata de este otro, cuya informacion verá en el link indicado.



Si tiene mas problemas al respecto, envienos una muestra del fichero indicado anexadolo a un mail dirigido a zonavirus@satinfo.es en cuyo texto ponga un copiar y pegar de este post, y le contestaremos como respuesta de este tema



saludos



ms, 23-03-2005

[Guest®]

Pero esa pagina me pide que tenga el antivirus de ellos, no me sirven esos pasos.

y el virus sí es el que se copia en Windows.

(yo uso windows 98 a todo esto).

así que aun no logro borrarlo, y no sé a qué se refiere con "una muestra del fichero", cómo mando una "muestra" de un fichero/archivo/etc.? a qué se refiere con eso?.

[caito]

Lo que te pide es que copies el fichero sospechoso y lo anexes a un mail para poder scanearlo y así decirte si es un virus o otra cosa.

Salu2

caito

[Guest®]

ah, pero sí es un gusano.

y aún no lo puedo borrar.



:?

[caito]

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia para el HijackThis (por ejemplo una carpeta C:\HijackThis\). Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

Una vez descargado, da doble click en el icono del HijackThis.exe.

Primero da click en el botón "Config", y aparecerán 5 opciones . Confirma las 4 últimas opciones y desmarca la primera.

Cuando hayas seleccionado esas opciones, presiona "Back"

Para empezar el escaneo de posibles hijackers, clickea en el botón "Scan". Se te presentará una lista con todos los elementos encontrados por el programa .

Baja el HijackThis de aquí:



http://www.spywareinfo.com/~merijn/files/hijackthis.zip

[msc hotline sat]

Si nos envías el fichero podremos analizarlo e incluso hacer una herramienta de eliminacion, ya que este bicho parece resistirse a tu antivirus, y asi poder ayudar a otros que se encuientren en igual caso, ya que este foro goza de este privilegio



Pero si no quieres hacerlo, prueba de arrancar a prueba de fallos y pasar así el antivirus, que posiblemente al no estar en uso el fichero gusano, windows dejara eliminarlo.



Si se resiste, puedes copiarnos el log del HJT que indica Caito, y te diremos las claves a eliminar. tras lo cual se dejará borrar el fichero



saludos



ms, 28-03-2005

[Guest®]

Ok, ya hice el escaneo y el Log, en el bloc de notas sale:



----------------

Logfile of HijackThis v1.99.1

Scan saved at 10:24:08 a.m., on 17/03/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SM56HLPR.EXE

C:\WINDOWS\SYSTEM\VETMSG9X.EXE

C:\ARCHIVOS DE PROGRAMA\CA\ETRUST EZ ARMOR\ETRUST EZ ANTIVIRUS\VETTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE

C:\TEMP\SALM.EXE

C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLSKEEP.EXE

C:\PROGRAM FILES\AUHH\TUCXMGG.EXE

C:\WINDOWS\SYSTEM\GAH95ON6.EXE

[color=red][b]C:\WINDOWS\SYSMON32.EXE[/b][/color]

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE

C:\WINDOWS\TEMP\HIJACKTHIS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [Vet Alert] C:\WINDOWS\System\VetMsg9x.exe

O4 - HKLM\..\Run: [VetTray] C:\ARCHIV~1\CA\ETRUST~1\ETRUST~1\VETTRAY.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [AdTools Service] C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE

O4 - HKLM\..\Run: [salm] c:\temp\salm.exe

O4 - HKLM\..\Run: [Ztdhp] C:\PROGRAM FILES\AUHH\TUCXMGG.EXE

O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\SYSTEM\gah95on6.exe

O4 - HKLM\..\Run: [System] C:\WINDOWS\TEMP\get.exe

O4 - HKLM\..\Run: [ivsnynap] C:\WINDOWS\ivsnynap.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background

[color=red][b]O4 - HKCU\..\Run: [System Monitor]C:\WINDOWS\SYSMON32.EXE[/b][/color]

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: EZ Firewall.lnk = C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Firewall\ca.exe

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm (file missing)

O16 - DPF: DigiChat Applet - http://chat.canal13.cl/DigiChat40/DigiChat/DigiClasses/Client_IE.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {A8739816-022C-11D6-A85D-00C04F9AEAFB} (Web Camera Server Control) - http://200.72.68.149:18000/wg_webeye.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c18.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab



------

y ahora qué hago con esto? el programa me tira la lista con opciones para marcar, y abajo salen botones de scan, fix checked, etc. :?:

PD: ¿KERNEL tambien es un virus? :? me parece haber visto antes ese nombre en algún listado de virus. no estoy seguro.

[caito]

Por favor toma nota de estas indicaciones :

Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack

Baja este programa:

disk cleaner

http://www.xs4all.nl/~mp2004/

Reinicia en Modo a prueba de fallos

Termina estos procesos(ctrl+alt+del):

ADTOOLS.EXE

SALM.EXE

ADTOOLSKEEP.EXE

AUHH\TUCXMGG.EXE

GAH95ON6.EXE

SYSMON32.EXE

get.exe

ivsnynap.exe

Cierra todas las aplicaciones (esto incluye Internet tambien ¡!!!)

Lanza el Hijack

Scan y luego Fix a estas:

C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE

C:\TEMP\SALM.EXE

C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLSKEEP.EXE

C:\PROGRAM FILES\AUHH\TUCXMGG.EXE

C:\WINDOWS\SYSTEM\GAH95ON6.EXE

C:\WINDOWS\SYSMON32.EXE>solo si no sabes a qué se refiere

O4 - HKLM\..\Run: [AdTools Service] C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE

O4 - HKLM\..\Run: [salm] c:\temp\salm.exe

O4 - HKLM\..\Run: [Ztdhp] C:\PROGRAM FILES\AUHH\TUCXMGG.EXE

O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\SYSTEM\gah95on6.exe

O4 - HKLM\..\Run: [System] C:\WINDOWS\TEMP\get.exe>solo si no sabes a qué se refiere

O4 - HKLM\..\Run: [ivsnynap] C:\WINDOWS\ivsnynap.exe

O4 - HKCU\..\Run: [System Monitor]C:\WINDOWS\SYSMON32.EXE

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm (file missing)

O16 - DPF: {A8739816-022C-11D6-A85D-00C04F9AEAFB} (Web Camera Server Control) - http://200.72.68.149:18000/wg_webeye.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c18.ca

Cierra el Hijack.

Asegúrate que se vean todos los archivos:

Haga doble clic en el icono Mi PC en el escritorio de Windows.

Haga clic en el menú Ver, y después en Opciones u Opciones de carpeta.

Haga clic en la pestaña Ver.

Realice uno de los siguientes pasos:

Windows 95. Seleccione "Mostrar todos los archivos".

Windows 98. En el cuadro Configuraciones avanzadas, en la carpeta

"Archivos ocultos", seleccione Mostrar todos los archivos.

Haga clic en Aplicar y después en Aceptar.

Busca estas carpetas y elimínalas:

C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE

C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLSKEEP.EXE

C:\PROGRAM FILES\AUHH\TUCXMGG.EXE

Busca estos archivos y los eliminas:

C:\TEMP\SALM.EXE

C:\WINDOWS\SYSTEM\GAH95ON6.EXE

C:\WINDOWS\SYSMON32.EXE>solo si no sabes a qué se refiere

C:\WINDOWS\TEMP\get.exe>solo si no sabes a qué se refiere

C:\WINDOWS\ivsnynap.exe

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se actualizado al 23/03/05

Reinicia normal y pega un nuevo log

Salu2

Caito

[msc hotline sat]

se mueve el Tema al apartado de analisis del HJT, para proceder con ello



saliudos



ms, 29-03-2005

[Guest®]

[quote="caito"]Por favor toma nota de estas indicaciones :

Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack[/quote]
Ok, pero, una pregunta, cómo copio el programa a una carpeta propia? :oops: porque el programa al ejecutarlo no me da ninguna opción de dónde lo quiero instalar, viene en formato zip quizas debo descomprimirlo o qué?

o simplemente en C: crear una carpeta y ahí meter manualmente el programa??? no creo.

esa es la duda.

[caito]

Eso haz lo último que dices.

Salu2

Caito

[Guest®]

Ok, pero cómo entro al modo a prueba de fallos? no me acuerdo.



(hoy, al hacer clic en Inicio y querer apagar el pc, ya no existe la opción para que aparesca la ventana que ofrece apagar el sistema, reiniciar, etc... sino que solamente está la que ofrece cerrar la sesión :? ¿eso se debe al virus?)

[msc hotline sat]

Mira esto:



https://foros.zonavirus.com/viewtopic.php?t=5266



saludos



ms, 30-03-2005

[Guest®]

(no se pueden modificar los mensaje aca?)

qué quieres decir con esto, Caito?:
[quote][i]"\WINDOWS\SYSMON32.EXE>solo si no sabes a qué se refiere"[/i][/quote]

[maura63]

Que borres igualmente solo si no sabes lo que es.



Si es conocida por ti no la borres.



Saludos

maura63

[Guest®]

[quote][i]"[b]Borra con el Disk Cleaner[/b] :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera ..."[/i][/quote]
Disk Cleaner? lo debo bajar? nunca he visto eso en mi pc.

[Guest®]

(Ok omitan mi ultimo post, no había visto el link para bajar el disk cleaner)



El problema es el siguiente:

me dijiste
[quote]Reinicia en Modo a prueba de fallos

Termina estos procesos(ctrl+alt+del):

ADTOOLS.EXE

SALM.EXE

ADTOOLSKEEP.EXE

AUHH\TUCXMGG.EXE

GAH95ON6.EXE

SYSMON32.EXE

get.exe

ivsnynap.exe [/quote]
pero al hacer ctrl-alt-suprimir (porque no tengo ninguna tecla que se llame del así que debe ser la tecla suprimir supongo) no aparece ninguno de esos procesos, solamente Inernet Explorer.



y además:
[quote]Cierra todas las aplicaciones (esto incluye Internet tambien ¡!!!)

Lanza el Hijack

Scan y luego Fix a estas:

C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE

C:\TEMP\SALM.EXE

C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLSKEEP.EXE

C:\PROGRAM FILES\AUHH\TUCXMGG.EXE

C:\WINDOWS\SYSTEM\GAH95ON6.EXE

C:\WINDOWS\SYSMON32.EXE>solo si no sabes a qué se refiere [/quote]
al lanzar el hijack y escanear no me aparece ninguna de esas. solamente aparecen las que comienzan con número (como las 04, 09 y esas, pero nada de C:).

a qué se debe? qué hago entonces?

[maura63]

Las que te comenta que elimines y estan en [size=150][color=red]C[/color][/size] debes buscarlas y eliminarlas manualmente.



Saludos

maura63

[Guest®]

[quote="maura63"]Las que te comenta que elimines y estan en [size=150][color=red]C[/color][/size] debes buscarlas y eliminarlas manualmente.



Saludos

maura63[/quote]
Sí pero yo no dije eliminar, dije que me pidió que las buscara en el hijack y les hiciera Fix, pero no salen en el hijack las respectivas de [b]C[/b]. qué hago entonces? solamente las borro sin hacerles Fix en el hijack?

[Guest®]

[u][b]Nuevo Log:[/b][/u]



Logfile of HijackThis v1.99.1

Scan saved at 08:49:34 p.m., on 20/03/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SM56HLPR.EXE

C:\WINDOWS\SYSTEM\VETMSG9X.EXE

C:\ARCHIVOS DE PROGRAMA\CA\ETRUST EZ ARMOR\ETRUST EZ ANTIVIRUS\VETTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\SYSTEM\RUNDLL.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\CA\ETRUST EZ ARMOR\ETRUST EZ FIREWALL\CA.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\WINWORD.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE

C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [Vet Alert] C:\WINDOWS\System\VetMsg9x.exe

O4 - HKLM\..\Run: [VetTray] C:\ARCHIV~1\CA\ETRUST~1\ETRUST~1\VETTRAY.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Rundll] Rundll.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: EZ Firewall.lnk = C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Firewall\ca.exe

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm (file missing)

O16 - DPF: DigiChat Applet - http://chat.canal13.cl/DigiChat40/DigiChat/DigiClasses/Client_IE.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab



Veo ahí a Kernel32 y según sé eso tambien es un virus.

al hacer los pasos que me dijiste, no encontré a ivsnynap.exe.



Como dato anexo (y he hecho un topic aparte para eso) hace un rato mi firewall me está tirando el siguiente mensaje:



The firewall has blocked Internet access to your computer (TCP Port 1080) from 220.118.80.217 (TCP Port 3506) [TCP Flags: S.

junto con estas otras.

from 193.138.232.80 (TCP Port 9607)

from 24.84.143.153 (TCP Port 46689)

from 68.84.236.214 (TCP Port 2794)

from 193.138.232.80 (TCP Port 9607)

from 193.138.232.60 (TCP Port 4435)



:?

bueno. ahí pegué el nuevo log. creo que al menos ya no tiene tantos virus...

[Guest®]

[quote="Guest®"][u][b]Nuevo Log:[/b][/u]



Logfile of HijackThis v1.99.1

Scan saved at 08:49:34 p.m., on 20/03/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SM56HLPR.EXE

C:\WINDOWS\SYSTEM\VETMSG9X.EXE

C:\ARCHIVOS DE PROGRAMA\CA\ETRUST EZ ARMOR\ETRUST EZ ANTIVIRUS\VETTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\WINAMP\WINAMPA.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\SYSTEM\RUNDLL.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\CA\ETRUST EZ ARMOR\ETRUST EZ FIREWALL\CA.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\WINWORD.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE

C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [Vet Alert] C:\WINDOWS\System\VetMsg9x.exe

O4 - HKLM\..\Run: [VetTray] C:\ARCHIV~1\CA\ETRUST~1\ETRUST~1\VETTRAY.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Rundll] Rundll.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: EZ Firewall.lnk = C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Firewall\ca.exe

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Archivos de programa\IrfanView\Ebay\Ebay.htm (file missing)

O16 - DPF: DigiChat Applet - http://chat.canal13.cl/DigiChat40/DigiChat/DigiClasses/Client_IE.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab



Veo ahí a Kernel32 y según sé eso tambien es un virus.

al hacer los pasos que me dijiste, no encontré a ivsnynap.exe.



Como dato anexo (y he hecho un topic aparte para eso) hace un rato mi firewall me está tirando el siguiente mensaje:



The firewall has blocked Internet access to your computer (TCP Port 1080) from 220.118.80.217 (TCP Port 3506) [TCP Flags: S.

junto con estas otras.

from 193.138.232.80 (TCP Port 9607)

from 24.84.143.153 (TCP Port 46689)

from 68.84.236.214 (TCP Port 2794)

from 193.138.232.80 (TCP Port 9607)

from 193.138.232.60 (TCP Port 4435)



:?

bueno. ahí pegué el nuevo log. creo que al menos ya no tiene tantos virus...[/quote]
eehhh.... alo? :roll: ...

[maura63]

Las entradas que estan en C no puedes eliminarlas con hijackthis, deberas buscarlas con el explorador por ejemplo y borrar manualmente.



Saludos

maura63

[Guest®]

[quote="maura63"]Las entradas que estan en C no puedes eliminarlas con hijackthis, deberas buscarlas con el explorador por ejemplo y borrar manualmente.



Saludos

maura63[/quote]
Ok, si eso hace dias que ya lo hice. lo que estoy haciendo ahora es pegar el nuevo log que me dijeron que hiciera, ya lo pegué y nadie dice nada...

[maura63]

Pues por ejemplo tienes



O4 - HKLM\..\Run: [Rundll] Rundll.exe

W32/Agobot-LK worm infection



Pasa tu antivirus en modo a prueba de fallos.



Saludos

maura63

[maura63]

Ejecuta esta utilidad



ELITRIIP

---v1.16---( 5 de Abril del 2005) (para 29 SdBots de McAfee, SdBot.DUC,DUD, Agobot.AEJ,AGV y Mytob.R y S)





Para su evaluacion, pueden descargarse desde la pagina principal de esta web, o a traves de los links indicados en:



https://foros.zonavirus.com/viewtopic.php?t=6139





luego conecta con windows update y actualiza los parches a faltar.



Saludos

maura63