falta "kesenganjansosial.exe" al inicio de windows

jalf87 · Mensaje por **jalf87** » 27 Dic 2006, 19:50

pues eso, cuando inicio mi computadora me sale el mensaje de que windows no encuentra la ruta de acceso a kesenjangansosial y quisiera saber si me pueden ayudar porfavor.

aqui mando lo que me salio con el hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 11:50:16 a.m., on 27/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.exe

C:\Archivos de programa\HP\HP Software Update\HPwuSchd2.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Updates from HP\9972322\Program\Updates from HP.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe

C:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

c:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

c:\windows\system\hpsysdrv.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinRemote.exe

C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\HP_Propietario\Mis documentos\Chepo\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://prodigy.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.prodigy.com.mx/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [HPHUPD08] c:\Archivos de programa\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [HPBootOp] "C:\Archivos de programa\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPwuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Tok-Cirrhatus-3741] "C:\Documents and Settings\HP_Propietario\Configuración local\Datos de programa\br8505on.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Updates from HP.lnk = C:\Archivos de programa\Updates from HP\9972322\Program\Updates from HP.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\4979\SiteAdv.dll (file missing)

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: SiteAdvisor Service - Unknown owner - C:\Archivos de programa\SiteAdvisor\4979\SAService.exe (file missing)

gracias de antemano por su ayuda.

jalf87 · Mensaje por **jalf87** » 27 Dic 2006, 20:42

bueno, pues ya trate de usar el "buscareg" y cuando le doy a buscar el kesenjangan me aparece un mensaje de "el administrador a deshabilitado la modifcacion al registro" y otro de que "no es posible exportar el registro".

no se que me sugieran hacer.

gracias.

Mensaje por **msc hotline sat** » 27 Dic 2006, 20:48

hazlo arrancando en modo seguro y como ADMINISTRADOR

ms

jalf87 · Mensaje por **jalf87** » 27 Dic 2006, 22:47

mira, tengo entendido que para entrar en modo seguro es presionando F8 cuando se esta encendiendo la computadora, pero lo que no se como hacer es entrar como administrador, ya que en mi computadora yo no tengo ninguna cuenta de usuario, entro como propientario, que es como si fuera el administrador, asi que si me pudieran decir como entrar como administrador se los agradeceria mucho.

gracias.

Nuker · Mensaje por **Nuker** » 27 Dic 2006, 22:52

MSC te dio esa opcion por si tenias otras cuentas de usuarios ya que hay veces que el administtrador puede poner reglas y restricciones, como se veia en tu caso, pero como comentas aqui tu eres el administrador asi que solo arranca en modo seguro y arranca el buscareg. A ver si no te diera problemas.

jalf87 · Mensaje por **jalf87** » 27 Dic 2006, 22:56

intentare a arrancar en modo seguro a ver como me va, muchas gracias, ya les dire como me fue.

Mensaje por **msc hotline sat** » 28 Dic 2006, 19:37

La cuestion es que tengas derechos suficientes.

Esperemos que asi sea.

saludos

ms, 28-12-2006

jalf87 · Mensaje por **jalf87** » 28 Dic 2006, 23:20

hola, de momento no eh podido hacer lo que me sigirieron ya que eh estado un poco ocupado, pero estaba checando un poquito en el foro, y vi que han habido mas personas que tenian el mismo problema que yo, y que para arreglarlo solo tuvieron que borrar algunas de las claves que salen en el HJT y queria saber si no hay forma de que yo lo arregle igual.

gracias.

Mensaje por **msc hotline sat** » 29 Dic 2006, 14:09

El HJT solo muestra una seleccion de claves del registro que nos interesan a nivel de virus, pero el registro es inmenso, y para buscarlo en cualquier parte procede hacerlo con el BUSCAREG

saludos

ms, 29.12.2006

jalf87 · Mensaje por **jalf87** » 02 Ene 2007, 04:51

hola, feliz año nuevo a todos en el foro.

estuve buscando un poco, y encontre un programa que se llama RegSeeker que trae una opcion para limpiar el registro, y queria saber si ese programa me serviria para quitar eso de que falta el kesenjangan.

gracias.

Mensaje por **msc hotline sat** » 02 Ene 2007, 05:38

El problema es que eliminaste el fichero que se utiliza en esta clave :

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"

La cual no se puede eliminare a la ligera porque se quedaría sin EXPLORER de windows, esto es, entorno grafico)

Al parecer este ordenador esta infectado por el virus BRONTOK, y deberia haberse eliminado adecuadamente, fichero y clave, no a media como se hizo eliminando solo el fichero

descripcion del virus:

[quote="sophos"]
Brontok-X

Gusano espía

Resumen

Resumen Descripción Avanzado

Nombre W32/Brontok-X

Tipo Gusano espía

Cómo se extiende Adjuntos de email

Unidades compartidas de red

Sistemas operativos vulnerables Windows

Efectos secundarios Inhabilita la protección antivirus

Permite el acceso no autorizado al equipo infectado

Roba información

Utiliza su propio programa de correo

Descarga código desde Internet

Compromete la seguridad del sistema

Se instala en el registro del sistema

Alias Email-Worm.Win32.Brontok.c

Protección disponible desde el 9 de marzo de 2006 21:58:03 (GMT)

Detectado por Todas las versiones de Sophos Anti-Virus

Incluido en el producto desde Mayo 2006 (4.05)

Descripción

Resumen Descripción Avanzado En esta sección encontrará información sobre su comportamiento

W32/Brontok-X es un gusano para Windows.

El gusano se propaga a través de unidades compartidas de red y a través de email.

Los productos antivirus de Sophos incluyen tecnología Genotype™ para la detección genérica de amenazas sin la necesidad de una actualización específica. Los clientes de Sophos están protegidos contra W32/Brontok-X (detectado como W32/Brontok-Fam) desde la versión 4.00.

Avanzado

Resumen Descripción Avanzado Esta sección contiene la descripción e información técnica avanzada

W32/Brontok-X es un gusano para Windows.

Al ejecutarse por primera vez, W32/Brontok-X se copia en:

<User>\Local Settings\Application Data\br4941on.exe

<User>\Local Settings\Application Data\csrss.exe

<User>\Local Settings\Application Data\inetinfo.exe

<User>\Local Settings\Application Data\lsass.exe

<User>\Local Settings\Application Data\services.exe

<User>\Local Settings\Application Data\smss.exe

<carpeta de Windows>\KesenjanganSosial.exe

<carpeta de Windows>\ShellNew\RakyatKelaparan.exe

<carpeta del sistema de Windows>\cmd-brontok.exe

Se crearán las siguientes entradas en el registro para ejecutar br4941on.exe y RakyatKelaparan.exe al inicio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Tok-Cirrhatus-1959

<User>\Local Settings\Application Data\br4941on.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Bron-Spizaetus

<carpeta de Windows>\ShellNew\RakyatKelaparan.exe

La siguiente entrada del registro será modificada para ejecutar KesenjanganSosial.exe al inicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell

Explorer.exe "<carpeta de Windows>\KesenjanganSosial.exe"

(el valor predeterminado para esta entrada del registro es "Explorer.exe", que hace que el archivo de Microsoft <carpeta de Windows>\Explorer.exe se ejecute al inicio del sistema).

Se creará la siguiente entrada en el registro, desactivando así el editor del registro (regedit):

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableRegistryTools

1

Se crearán entradas en el registro de la siguiente manera:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoFolderOptions

1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableCMD

0

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Hidden

0

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

HideFileExt

1

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

ShowSuperHidden

0

El gusano se propaga a través de unidades compartidas de red y a través de email.
[/quote]

Si tuvieras alguno de estos ficheros:

<User>\Local Settings\Application Data\br4941on.exe

<User>\Local Settings\Application Data\csrss.exe

<User>\Local Settings\Application Data\inetinfo.exe

<User>\Local Settings\Application Data\lsass.exe

<User>\Local Settings\Application Data\services.exe

<User>\Local Settings\Application Data\smss.exe

<carpeta de Windows>\KesenjanganSosial.exe

<carpeta de Windows>\ShellNew\RakyatKelaparan.exe

<carpeta del sistema de Windows>\cmd-brontok.exe

dinoslo y te diremos como enviarnoslo para analizar e implementar la eliminacion de todo lo que haga en nuestras utilidades, pues por lo visto afecta a bastantes partes como se pouede ver en la descripcion

saludos

ms, 2-01-2007

Nota: No sé lo que haría el programa que decias, pero visto lo que hace el bicho, yo en tu lugar no lo usaría... ms.

jalf87 · Mensaje por **jalf87** » 03 Ene 2007, 01:18

mira, ahora que lo mencionas, si recuerdo que ese aviso me empezo a salir despues de que el nod32 me dio un aviso de virus, era algo asi como W32/Brontok.A si mal no recuerdo, y para eliminarlo utilize el panda online ya que el nod32 no podia.

gracias.

Mensaje por **msc hotline sat** » 03 Ene 2007, 07:44

Pues mira si puedes enviarnos alguno de los fucheros indicados, pero vigila que sean de la ruta indicada, no de la carpeta de sistema que son los normales !

En cualquier caso lo que utilizaras para eliminarlo, se olvidó de restaurar la clave en cuestuion y ahora no encuentra el fichero al que llama

En cuanto recibamos las muestras, procederemos

saludos

ms, 3-01-2007

saludos

jalf87 · Mensaje por **jalf87** » 08 Ene 2007, 04:03

hola, estuve buscando los archivos que me pedian pero no tengo ninguno de esos, no se que me recomienden ahora.

gracias.