Estoy muy infectada..bueno la pc

[Vlaeria]

Les cuento que mis unidades la de cd/dvd y diskette se borraron, no aparecen. como no me funcionaba el dvd, quize volver a instlar los drivers, pero hubo un error yse me apago la maquina, al principio se tarda mucho en detectar Ide master o algo asi, bueno dice f4 to abort, pero si no le doy el f4 se inicia muy lenta, y si le doy f4 no inica, bueno le he dado una pasada con el panda y me detecto 12 virus y solo pudo borrar 1, el mcafee tambien me detecto algunos.

le pase el Trend Micro(pc.cillin y ahi me di cuenta que detecto el virus [b]polyboot*B[/b] (segun lei afecta las unidades, precisamente lo que le paso a mi pc), hay alguna manera de eliminarlo, no puedo, auxilio! ahora no puedo usar mis unidades A: Y E: :shock: , les dejo mi log de hijackthis, a lo mejor tiene mas virus, necesito su ayuda porfa.....gracias :cry:





[b]AUXILIO[/b]



Logfile of HijackThis v1.99.1

Scan saved at 10:31:29 p.m., on 25/05/2003

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINMOWS\System32\smss.exe

C:\WINMOWS\SYSTEM32\winlogon.exe

C:\WINMOWS\system32\services.exe

C:\WINMOWS\system32\lsass.exe

C:\WINMOWS\system32\svchost.exe

C:\WINMOWS\System32\svchost.exe

C:\WINMOWS\system32\spoolsv.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\Tmntsrv.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCPFW.exe

C:\WINMOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINMOWS\System32\pctspk.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\pccguide.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCClient.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\Pop3trap.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINMOWS\System32\wuauclt.exe

C:\WINMOWS\System32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

c:\program files\MSN Apps\Updater\01.02.3000.1001\es-mx\msnappau.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIVOS DE PROGRAMA\WINRAR\WinRAR.exe

C:\WINMOWS\TEMP\Rar$EX00.297\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =



http://www.vmyeymmfoxwceefulzmbgg.uk/8OY6C4lAEB_9lK_0tMirdZnC5A/aIXQjQpkHHxR0sISlJ3x6u7H4



XogB/OQbegKs.jsp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prodigy.com.mx/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINMOWS\SYSTEM\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIVOS



DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL (file missing)

O2 - BHO: (no name) - {0388EC16-BA98-416f-9D9B-B9A031E427AF} -



C:\WINMOWS\SYSTEM\si2ox4i3bw.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de



programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {25CF321D-25AD-43CE-02EA-41799C4A17FB} -



C:\DOCUME~1\BK\DATOSD~1\MP3BIA~1\Pure Mix.exe (file missing)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN



APPS\ST\01.02.3000.1002\EN-XU\STMAIN.DLL

O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} -



C:\WINMOWS\System32\WinNB57.dll (file missing)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de



programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-mx\msntb.dll

O2 - BHO: (no name) - {C5973C75-34FB-A164-E04E-2456CAEAC0F5} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -



C:\WINMOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE



PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL (file missing)

O3 - Toolbar: T1msn - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de



programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-mx\msntb.dll

O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} -



C:\WINMOWS\System32\WinNB57.dll (file missing)

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos



comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [ScanRegistry] C:\WINMOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINMOWS\taskmon.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [newping] C:\ARCHIV~1\PROGRA~1\Dart Acid.exe

O4 - HKLM\..\Run: [USER PING HOLD FAST] C:\WINMOWS\Application Data\Noun2UserPing\Boob



Great.exe

O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINMOWS\SYSTEM\P2P NETWORKING\P2P



NETWORKING.EXE /AUTOSTART

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2002\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2002\Pop3trap.exe"

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"



/WinStart

O4 - HKCU\..\Run: [Ez-Emoticons] C:\Archivos de programa\EZ Emoticons\EZ.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos



comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel -



res://C:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -



C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -



C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de



programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -



C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll

O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)

O16 - DPF: {10003000-1000-0000-1000-000000000000} -



ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -



http://static.windupdates.com/cab/CDT/ie/bridge-c18.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -



http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) -



http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4499/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EAB00B0-DE19-4740-A2F2-94A6775083BF}:



NameServer = 200.33.148.193 200.33.148.201

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} -



C:\WINMOWS\System32\vbsys2.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe



Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de



programa\iPod\bin\iPodService.exe

O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Archivos de programa\Trend



Micro\PC-cillin 2002\PCCPFW.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Archivos de programa\Trend



Micro\PC-cillin 2002\Tmntsrv.exe

[msc hotline sat]

Ante todo vamos a eliminar el WYX, alias polyboot, para lo cual debe disponer de un disco de inicio de windows 98, o el formateado con sistema que le hace un XP pero no el de esta máquina, ya que esta tiene infectados los sectores de MASTER BOOT RECORD y de BOOT sector y no debe utilizarse para hacer disquetes de inicio.



Una vez tenga dicho disquete, copie en él el ELIWYX.EXE y arrancando con él, ejecutelo



ELIWYX:

http://www.zonavirus.com/datos/descargas/102/ELIWYX.asp







Luego nos miraremos su log de HJT, que no tiene nada que ver con dicho virus



saludos



ms, 26-05-2005

[msc hotline sat]

Sobre su log de HJT, tiene un blank.html que falsea la pagina de inicio, ya que su about:blank carga entonces el script de dicho html, lo cual es propio de HOME SEARCH ASSISTANT y similares.



Lance el ELISTARA.EXE, y tras programar pagina de inicio conocida, para enteratse si se la cambian (ponga alguna conocida como http://www.google.es, pero no pagina en blanco, porque no se enteraría si le pusieran la que tiene ahora), y tras ello primero lance un windowsupdate para actualizar parches de microsoft (no tiene ni el SP1 !!!), y luego posteenos de nuevo el log del HJT para terminar de hacer limpieza, y copienoslo como respuesta de este Tema, que lo movemos al apartado del analisis del HJT a tal efecto



http://www.zonavirus.com/descargas/elistara.asp





saludos



ms, 26-05-2005

[Vlaeria]

Muchsisismas gracias por responder...solo tengo unas preguntas, tengo el disco de arrnque de windows 98, pero mi computadora tiene el xp, como quiera sirve?.. y mi unidad A: no sirve como voy a meter el disco de arranque? :(

[msc hotline sat]

Y como se iba a infectar con el WYX este ordenador si no fuera a través de la unidad A: ???



Pues claro que ha de arrancar con un disquete de inicio colocado en A: y lanzar el ELIWYX.EXE que debe copiar en este mismo disquete, o en otro si no quiere desproteger este.



Arrancando con disco de inicio en FAT, de WIN98, tenemos acceso a los sectores fisicos del disco duro, no a los logicos por estar formateado en NTFS, pero los sectores a los que necesitamos acceder para eliminar el virus son el 0,0,1 y el 1,0,1 (cabezal,cilindro,sector), del MBR y del BOOT respectivamente, que son los dos sectores que infecta el WYX.



Y se infectó el ordenador por dejar un disquete con el BOOT infectado en la disquetera del ordenador y arrancar así el equipo, con lo que intentó arrancar de A:, procesó el BOOT del disquetem donde reside el virus en los disquetes infectados, y sobreescribio los dos sectores indicados del disco duro.



Si no tuviera ahora unidad A: o estuviera averiada, arranque desde CDROM con el CD de instalacion y seleccione R, y entre en la consola de recuperacion, y desde MSDOS, ejecute el ELIWYX-EXE desde donde lo tenga copiado.



saludos



ms, 27-05-2005

[Vlaeria]

He borrado los virus, quiza quede otro, bueno aqui esta de nuevo el log





Logfile of HijackThis v1.99.1

Scan saved at 05:07:40 p.m., on 27/05/2003

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINMOWS\System32\smss.exe

C:\WINMOWS\SYSTEM32\winlogon.exe

C:\WINMOWS\system32\services.exe

C:\WINMOWS\system32\lsass.exe

C:\WINMOWS\system32\svchost.exe

C:\WINMOWS\System32\svchost.exe

C:\WINMOWS\system32\spoolsv.exe

C:\WINMOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINMOWS\System32\pctspk.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\ARCHIV~1\SRNMIC~1\SOLOSENT.EXE

C:\ARCHIV~1\SRNMIC~1\SOLOCFG.EXE

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINMOWS\System32\wuauclt.exe

C:\WINMOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

c:\program files\MSN Apps\Updater\01.02.3000.1001\es-mx\msnappau.exe

C:\ARCHIVOS DE PROGRAMA\WINRAR\WinRAR.exe

C:\WINMOWS\TEMP\Rar$EX00.188\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vmyeymmfoxwceefulzmbgg.uk/8OY6C4lAEB_9lK_0tMirdZnC5A/aIXQjQpkHHxR0sISlJ3x6u7H4XogB/OQbegKs.jsp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prodigy.com.mx/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL (file missing)

O2 - BHO: (no name) - {0388EC16-BA98-416f-9D9B-B9A031E427AF} - C:\WINMOWS\SYSTEM\si2ox4i3bw.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {25CF321D-25AD-43CE-02EA-41799C4A17FB} - C:\DOCUME~1\BK\DATOSD~1\MP3BIA~1\Pure Mix.exe (file missing)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINMOWS\System32\WinNB57.dll (file missing)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-mx\msntb.dll

O2 - BHO: (no name) - {C5973C75-34FB-A164-E04E-2456CAEAC0F5} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINMOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL (file missing)

O3 - Toolbar: T1msn - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-mx\msntb.dll

O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINMOWS\System32\WinNB57.dll (file missing)

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [ScanRegistry] C:\WINMOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINMOWS\taskmon.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [newping] C:\ARCHIV~1\PROGRA~1\Dart Acid.exe

O4 - HKLM\..\Run: [USER PING HOLD FAST] C:\WINMOWS\Application Data\Noun2UserPing\Boob Great.exe

O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINMOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [SoloSentry] C:\ARCHIV~1\SRNMIC~1\SOLOSENT.EXE

O4 - HKLM\..\Run: [SoloSchedule] C:\ARCHIV~1\SRNMIC~1\SOLOCFG.EXE

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [Ez-Emoticons] C:\Archivos de programa\EZ Emoticons\EZ.exe

O4 - HKCU\..\Run: [newping] C:\DOCUME~1\BK\DATOSD~1\PROGRA~1\Dart Acid.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOO!\MESSEN~1\YPAGER.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\ARCHIV~1\INTERN~1\Plugins\NPDocBox.dll

O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c18.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EAB00B0-DE19-4740-A2F2-94A6775083BF}: NameServer = 200.33.148.193 200.33.148.201

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINMOWS\System32\vbsys2.dll (file missing)

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

[caito]

Imprime o copia estas indicaciones!!!

Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack



Baja estos programas:

disk cleaner

http://www.xs4all.nl/~mp2004/

AdAware Se :

ftp://ftp.download.com/pub/win95/utilities/aawsepersonal.exe

Bajar Microsoft Antispyware:

http://microsoft-antispyware.uptodown.com/



Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )

Desactiva Restaurar Sistema

Reinicia en Modo seguro

Haz que se vean todos los archivos.

Cierra todas las aplicaciones

Lanza el Hijack

Busca “Open the Misc Tools Section"

Selecciona "Open process manager"

Busca los siguientes procesos:

P2P NETWORKING.EXE

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vmyeymmfoxwceefulzmbgg.uk/8OY6C4lAEB_9lK_0tMirdZnC5A/aIXQjQpkHHxR0sISlJ3x6u7H4XogB/OQbegKs.jsp

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL (file missing)

O2 - BHO: (no name) - {0388EC16-BA98-416f-9D9B-B9A031E427AF} - C:\WINMOWS\SYSTEM\si2ox4i3bw.dll (file missing)

O2 - BHO: (no name) - {25CF321D-25AD-43CE-02EA-41799C4A17FB} - C:\DOCUME~1\BK\DATOSD~1\MP3BIA~1\Pure Mix.exe (file missing)

O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINMOWS\System32\WinNB57.dll (file missing)

O2 - BHO: (no name) - {C5973C75-34FB-A164-E04E-2456CAEAC0F5} - (no file)

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_5_0.DLL (file missing)

O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINMOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c18.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINMOWS\System32\vbsys2.dll (file missing)

Cierra el Hijack.

Busca estos archivos y los eliminas:

C:\WINMOWS\SYSTEM\P2P NETWORKING

C:\foo.mht!http

c:\eied_s7.cab

c:\ex.cab

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se actualizado al 25/05/05 y el Microsoft Antispiware (actualizado )

Reinicia normal, conecta Internet y pega un nuevo log

Salu2

Caito

[msc hotline sat]

Pues celebro que pudiera eliminar el virus WYX de Boot y particion, ya que era el principal problema, tras lo cual podrá acabar de hacer limpieza eliminando claves inútiles de llamadas a ficheros inexistentes, pero sobre el ieloader.exe es el gusano del SMALL.RR TROJAN, que debiera haber detectado y eliminado con el SPYBOT o cualquier otro antispyware, lo cual debe hacerse siempre antes de postear el log del HJT, ya que en él no se ve mas que un 1 % del registro de sistema, donde virus y troyanos pueden haber modificado claves que los antivirus y antispywares modifican y las cuales son restauradas por dichas utilidades, si detectan el gusano, pero si se elimina este manualmente, las claves que pudiera haber modificado quedan por restaurar, y ello no lo detectan la inmensa mayoria de utilidaes, exceptuando las nuestras que restablecen los valores de registro aunque no de detecte el gusano en cuestion, pero ellas son por familias, y cada una restablece las correspondientes a los virus o troyanos que contempla, pero no todos los 130.000 virus y 150.000 troyanos ya conocidos actualmente.



Por ello ya indicamos que antes de postear el log del HJT...



https://foros.zonavirus.com/viewtopic.php?t=5148



y en este caso nos tememos que se ha hecho caso omiso. Tenga presente seguir nuestras indicaciones, que cuando lo decimos es por algo.



Y tras lo indicado, vea si tras reiniciar detecta alguna anomalía, y nos lo indica en cualquier caso, para que podamosdar por solucionado el Tema



saludos



ms, 28-05-2005