No puedo...

[kelben]

Ante todo, buenos dias. No suelo postear en foros pidiendo ayuda porq hasta ahora no me ha echo falta. Pero es q esto....no tiene sentido.



Os explico.



Tengo un ordenador infectado de virus. Bien. Es un win2000 sp4. Reinicio en modo a prueba de fallos, desoculto las extensiones de archivos conocidas y le paso la siguiente bateria de antivirus y herramientas diversas:



Ewido actualizado

Avast actualizado

Nod32 actualizado

Xsoftspy actualizado

Herramientas de liempieza de avast y de mcafee.

The cleaner

trojan remover

regseeker para el registro

spybot14

elistar 12.60

delpsguard



En fin, despues de esto, y de pasarlos varias veces, consigo q arranque, pero surge el problema. Cuando estoy en el escritorio de windows, y sin tocar nada, cuando pasa un ratillo (aleatorio) se me inhabilita el boton del raton (izquierdo y derecho) y cuando le doy a Inicio, el menu ha desaparecido y solo quedan 4 accesos directos a cosas del office.



El office esta desinstalado y borrado del registro y vuelto a instalar.



No se q hacer amigos. Estoy ya q no se q hacer. Gracias de antemano.

[msc hotline sat]

Aparte de probar con otro raton, pues michas veces al ser tan baratos la electronica se degrada, posteanos log del HJT u lo estudiaremos:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos



saludos



ms, 4-10-2006



nota: y va de broma : pasanos el ELISTARA ese que tienes de la 12.60 que nos ahorrarás hacerlo...ya que vamos por la 12.46 :lol: :lol: :lol:

[kelben]

Okis. Gracias. Tienes razon, es la 12.46 jajajajajaja. En cuanto me baje el hijack y lo pase posteo el resultado.

[msc hotline sat]

ok, pues esperamos como respuesta de este Tema el log del HJT, gracias



saludos



ms, 4-10-2006

[kelben]

aqui esta el logg....



Logfile of HijackThis v1.99.1

Scan saved at 11:43:13, on 04/10/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\ARCHIV~1\COSIDS\BIN\TbMux32.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\spnsrvnt.exe

C:\ARCHIV~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe

C:\ARCHIV~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe

C:\Archivos de programa\Commander Pro\UPServ.exe

C:\ARCHIV~1\JAVASOFT\JRE\132E6D~1.1\bin\java.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Commander Pro\UPS.EXE

C:\WINNT\Explorer.EXE

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\ARCHIV~1\INCRED~1\bin\IMApp.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\ARCHIV~1\WINZIP\wzqkpick.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKCU\..\Run: [IncrediMail] C:\Archivos de programa\IncrediMail\bin\IncMail.exe /c

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1C4C6BC7-91F1-4FD3-A208-B07B6C1BDBFA} (Firma1Fase Class) - https://www.juntadeandalucia.es/economiayhacienda/apl/surweb/firma/ActiveXSign.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5DC2D028-F494-469A-87F7-5B17F38D666A}: NameServer = 80.58.0.33,80.58.32.97

O21 - SSODL: IEFilter - {EFD689D7-443D-4CDA-89FD-363C282BC741} - C:\WINNT\system32\IEFilter.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: COSIDS_TB - TransAction Software, D 81737 Munich - C:\ARCHIV~1\COSIDS\BIN\TbMux32.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: SentinelSuperProNet Server (SuperProServer) - Rainbow Technologies - C:\WINNT\system32\spnsrvnt.exe

O23 - Service: TIS 2000 Apache Web Server - Unknown owner - C:\ARCHIV~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe

O23 - Service: UPSmart - Unknown owner - C:\Archivos de programa\Commander Pro\UPServ.exe

[msc hotline sat]

Pues apunta:



No tienesinmstalado ningun parche de microsoft !!! Toenes todos los agujeros de seguyridad del mundo... actualizalos





A pesar de ello el problema te viene por tener instalados dos antivirus, cuando no debe jabetr mas que uno



Deinstala el otro



y cientanos el resultado, gracias



saludos



ms, 4-10-2006

[msc hotline sat]

Pues apunta:



No tienes instalado ningun parche del I.E. !!! Tienes todos los agujeros de seguridad del mundo... actualizalos lanzamdo un windowsupdate





A pesar de ello el problema te viene por tener instalados dos antivirus, cuando no debe jabetr mas que uno



Desinstala el otro



y cuentanos el resultado, gracias



saludos



ms, 4-10-2006

[kelben]

Pues no se q deciros. Creo q la barra de inicio no me desaparece ya y tampoco me deja de funcionar el raton y el teclado. Pero cuando reinicio me da errores en el medidor de energia y en explorer. Tengo otro equipo conectado en red con este y tambien tenia virus. Alguna sugerencia??? La ultima vez el avast detecto el Rkdice y lo elimino.



Lo q mas comentao de q me faltan actualizaciones, le paso el windowsupdate y solo me intenta instalar 1 actualizacion (windows installer 3.1) y me da error al instalarla.



Aqui os pongo el log del otro equipo q tengo en red, a ver si los voy a enchufar y se va a montar una orgia de virus q no veas:



Logfile of HijackThis v1.99.1

Scan saved at 12:36:28, on 04/10/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINNT\system32\cisvc.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\BHPS\Pmap1\bin\MapperMonService.exe

C:\Archivos de programa\BHPS\JRE142\bin\javaw.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\tcpsvcs.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\BHPS\Gmg\bin\DBMonService.exe

C:\Archivos de programa\BHPS\Gmg\bin\TomcatMonService.exe

C:\Archivos de programa\BHPS\JRE142\bin\java.exe

C:\Archivos de programa\BHPS\Gmg\bin\tbmux32.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINNT\system32\ctfmon.exe

C:\Archivos de programa\BHPS\Gmg\bin\tbkern32.exe

C:\Documents and Settings\Juan1\Escritorio\hijackthis\HijackThis.exe

C:\Archivos de programa\BHPS\Gmg\bin\tbkern32.exe

C:\Archivos de programa\BHPS\Gmg\bin\tbkern32.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {AE8E48CC-A29C-4708-BB36-64EEA864CFEF} - (no file)

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E1B7DAE1-F78D-422E-A4C3-9A3841F878D1}: NameServer = 80.58.0.33,80.58.32.97

O20 - AppInit_DLLs: \\?\C:\WINNT\system32\clock$.mvz

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINNT\system32\oodag.exe

O23 - Service: pqeauto.database.dbmonitor.GMG - ProQuest Business Solutions - C:\Archivos de programa\BHPS\Gmg\bin\DBMonService.exe

O23 - Service: pqeauto.energy.mappermonitor - ProQuest Business Solutions - C:\Archivos de programa\BHPS\Pmap1\bin\MapperMonService.exe

O23 - Service: pqeauto.engine.tomcatmonitor.GMG - ProQuest Business Solutions - C:\Archivos de programa\BHPS\Gmg\bin\TomcatMonService.exe



Por supues muchisimas gracias a todos, sobre todo por vuestra rapida respuesta. SALUDOS.

[kelben]

JAJAJAJA. Edito. El otro equipo sigue igual. Sinmenu inicio. sin teclado y sin raton. No lo entiendo.,...

[msc hotline sat]

Está utilizando un I.E. sin parches, Lance un windowsupdate !!!







Aparte elimine estas claves



R3 - Default URLSearchHook is missing



O2 - BHO: (no name) - {AE8E48CC-A29C-4708-BB36-64EEA864CFEF} - (no file)







y vemos tres procesos residentes muy sospechoso de:



C:\Archivos de programa\BHPS\Gmg\bin\tbkern32.exe



diganos si lo conoce





Tras eliminar las claves indicadas, y reiniciar, comentenos el resultado, gracias



saludos