Como quitar componentes del antiguo antivirus (SOLUCIONADO)

[barcelona44]

Me gustaria saber como quitar, despues de la eliminación de mi antiguo antivirus, algunos componentes que el nuevo antivirus me detecta. Tenia el antivirus Pc-cillin, lo desinstalé, y el nuevo antivirus, panda, me dice que desinstale el antiguo. He ido al inicio-panel de control-agregar y quitar programas y pc-cillin no se encuentra

Os agradeceria que si me pudierais ayudar.

Muchas gracias



:)

[Nuker]

Bajando Hijack This, corralo y donde dice scan and save log file le pica, le creara un log en un bloc de notas, copie el contenido y lo pega para que se le den instrucciones de que eliminar y que no.



HIJACKTHIS:



http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp



Saludos.

[msc hotline sat]

Y en el apartado de desinstalacion de este manual, se indican varios metodos de desinstalacion del PC CILLIN:



http://es.trendmicro-europe.com/global/products/collaterals/manual/GSG_ES.pdf



saludos



ms, 19-12-2006

[barcelona44]

Espero no repetir otra vez el post, es la primera vez que pedia una ayuda en un foro y si lo hice ayer, fue por mi desconocimiento, y pido disculpas. De no hacerlo bien te agradeciria me dijeras como hacerlo. Muchas gracias.

Te pego el log del bloc de notas, al utilizar Hijackthis, como me dijiste. Un saludo



Logfile of HijackThis v1.99.1

Scan saved at 18:06:20, on 19/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\DOCUME~1\pere\CONFIG~1\Temp\svchost.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Combinación inalámbrica Labtec\MagicKey.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Combinación inalámbrica Labtec\MulMouse.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Combinación inalámbrica Labtec\OSD.EXE

C:\WINDOWS\system32\ntvdm.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://es.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://es.rd.yahoo.com/customize/ycomp/defaults/su/*http://es.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Archivos de programa\Megaupload\Mega Manager\MegaIEMn.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Omnipage] C:\Archivos de programa\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\pere\CONFIG~1\Temp\svchost.exe 1

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 2007\pccguide.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Morpheus Ultra] "C:\Archivos de programa\StreamCast\Morpheus Ultra\Morpheus.exe" -min

O4 - HKCU\..\Run: [OE] "C:\Archivos de programa\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"

O4 - Global Startup: Activar combinación inalámbrica Labtec.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Residente del Photo Loader.lnk = F:\casio\Plauto.exe

O4 - Global Startup: Supervisión de Photo Loader.lnk = F:\casio\Plauto.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://pere1962.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162583106274

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163103935171

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://bmm.imgag.com/imgag/cp/install/crusher-es.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~2\PcCtlCom.exe (file missing)

O23 - Service: Trend Micro Protection Against Spyware (PcScnSrv) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~2\PcScnSrv.exe (file missing)

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~2\Tmntsrv.exe (file missing)

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~2\TmPfw.exe (file missing)

O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~2\tmproxy.exe (file missing)

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe (file missing)

[barcelona44]

Te agradezco mucho tu información, ya entre en esta dirección e intenté hacerlo, pero algún componete de Pc-cillin quedaba ya que al instalar el nuevo antivirus me lo decia!!

En relación al duplicado del log, pido disculpas ya que no sabia como hacerlo, por mi desconocimiento, en el foro. Era mi primera ayuda a vosotros y al no saber como hacerlo repetí el log. Lo siento mucho, no sé repetirá. Hoy creo que lo he hecho bien. Muchas gracias y un saludo

[Nuker]

[b]ESPERA LA ORDEN DE ELIMINAR DICHAS CLAVES[/b] (YA QUE ESTOY EN MODO DE APRENDIZ EN HJT):



O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)



O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 2007\pccguide.exe"



O4 - HKCU\..\Run: [OE] "C:\Archivos de programa\Trend Micro\Internet Security 2007\TMAS_OE\TMAS_OEMon.exe"





O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~2\PcCtlCom.exe (file missing)

O23 - Service: Trend Micro Protection Against Spyware (PcScnSrv) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~2\PcScnSrv.exe (file missing)

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~2\Tmntsrv.exe (file missing)

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~2\TmPfw.exe (file missing)

O23 - Service: Trend Micro Proxy Service (tmproxy) - Unknown owner - C:\ARCHIV~1\TRENDM~1\INTERN~2\tmproxy.exe (file missing)

[msc hotline sat]

Efectivamendtem las claves antes indicadas por Nuker pueden eliminarse, pero ua que estamos, parece que tenemos un gusano que puede incordiarnos y tampoco dejarnos instalar el antivirus, pues algunos lo hacen :



Se trata de un SVCHOST klanzado desde guera de la carpeta de sistema, por lo que es mas que sospechoso:



C:\DOCUME~1\pere\CONFIG~1\Temp\svchost.exe



y ademas lo es desde una carpeta temporal, de donde nunca se lanzan aplicaciones tras un reinicio, como se ve en la clave correspondiente:





O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\pere\CONFIG~1\Temp\svchost.exe 1





De entrada enviarnos muiestra del fichero en cuestion, y me atrevo a decir que tambien podeis eliminar la clave, si bien analizaremos el fichero por si hubiera otras cosas modificadas que restaurar...





recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 19-12-2006

[barcelona44]

Gracias por tu ayuda, pero dices de mandar una muestra del archivo, dada mi ignorancia en el tema, serias tan amable de indicarme que és lo que he de enviar.

Muchas gracias

[Nuker]

Lo que tienes que enviar es este fichero "[b]svchost.exe[/b]".



Llegas a el de esta forma:





C:\DOCUME~1\pere\CONFIG~1\Temp\SVCHOST.EXE



Y aqui te dejo como enviar muestra y a donde:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Y voy a comer que por aca ya hace hambre :D . Saludos.

[msc hotline sat]

INFO:



La carga de ficheros SVCHOST desde itra carpeta que no sea la de sistema (\windows\system32 en XP) es tipica de malwares:




[quote]


El SVCHOST.EXE es, originalmente, el lanzador de tareas del windows, pero debe estar en la carpeta de sistema, C:\windows\system32 si es XP



Como que son varias las aplicaciones que se lanzan en el inicio a través de este lanzador, aparecerá en el Administrador de tareas varias veces, pasando desapercibido si hay uno mas o uno menos.



Por ello es aprovechado por los coders para usar este nombre ocultando su gusano, si bien no puede estar en la misma carpeta que el original con el mismo nombre, y lo ponen en una cerca, o la previa de C:\windows o en una posterior como por ejemplo c:\windows\system32 \drivers, por ejemplo...



En otros casos utilizan la misma carpeta, pero cambiando ligeramente el nombre, por ejemplo utilizando SCVHOST en lugar de SVCHOST, para pasar desapercibido y otros nombres o combinaciones alfanumericas que se preste a confusion, como SVCH0ST que no es el SVCHOST ya que la O es un cero. etc.



Pero aun siendo normal puede que la aplicacion lanzada sea malware, por lo que siempre se ha de disponer de un buen antivirus y de los parches de microsoft instalados y actualizados, lo cual puede ser motivo de incidencias en caso contrario



Y con lo indicado se da por aclarado el uso del nombre SVCHOST por los malwares.


[/quote]

saludos



ms, 20-12-2006

[barcelona44]

Muchas gracias por el interés y la información, pero me podrias decir de qué forma puedo eliminar este malware.

Un saludo

[Nuker]

Cuando el fichero enviado sea anallizado se le daran instrucciones de eliminacion ya que no se sabe lo que es. Y si no resultara ser virus se le manejara su caso con otras opciones. No desespere, no tardan tanto en contestar.



Saludos.

[barcelona44]

Muchas gracias, esperaré vuestra contestación a la muestra enviada por email.

Un saludo

[msc hotline sat]

Hemos implementado el control de un nuevo SVCHOST malware en la ulti,a bersion del ELITRIIP, pruebela:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 21-12-2006

[barcelona44]

Hola, muchas gracias por la información. He intentado en la dirección que me habeis puesto, pero no puedo descargar el programa que me poneis, no he visto en donde puedo clicar para descargarlo y probarlo.

Espero me podais decir como hacerlo.

Un saludo

[barcelona44]

Fri Dec 22 00:20:05 2006

EliTriIP v2.92 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUME~1\PERE\CONFIG~1\TEMP\SVCHOST.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "WindowsServicesStartup"="C:\DOCUME~1\pere\CONFIG~1\Temp\svchost.exe 1"



Fri Dec 22 00:21:49 2006

EliTriIP v2.92 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Trend Micro\TIS15_1329\Setup\System32\drivers\im\TM_CFW.sys --> Eliminado, RootKit

C:\WINDOWS\system32\drivers\TM_CFW.sys --> Eliminado, RootKit

[msc hotline sat]

Muy bien !



pues no solo el SVCHOST de la carpeta temporal, sino ademas un rootkit y todo!



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 22-12-2006