Logfile of HijackThis v1.99.1
Scan saved at 11:27:35, on 04/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\sttray.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMFirstStart.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Persystems\Perav\PERVACNT.EXE
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\ARCHIV~1\PERSYS~1\Perav\pertsk.exe
C:\Archivos de programa\Persystems\Perav\PAVSS.EXE
C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Documents and Settings\Administrador\Configuración local\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\Perav\PAV.EXE
O4 - HKLM\..\Run: [AVG7_CC] "C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe" /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe"
O4 - HKLM\..\Run: [InCD] "C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe"
O4 - HKLM\..\Run: [SpySweeper] C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Actualización de PER Antivirus.lnk = C:\Archivos de programa\Persystems\Perav\PERUPD.EXE
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1ECA8F06-D064-40D2-9EBD-F68038156D2B}: NameServer = 85.255.115.29,85.255.112.140
O17 - HKLM\System\CCS\Services\Tcpip\..\{672704C7-1590-4CE2-A18B-0EDA6A8E85E4}: NameServer = 85.255.115.29,85.255.112.140
O17 - HKLM\System\CCS\Services\Tcpip\..\{7372B221-E1AD-4B5D-9A73-06D31DB61438}: NameServer = 85.255.115.29,85.255.112.140
O17 - HKLM\System\CCS\Services\Tcpip\..\{942D0F87-5002-46C2-8235-3D3F798C7F72}: NameServer = 85.255.115.29,85.255.112.140
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.140
O17 - HKLM\System\CS2\Services\Tcpip\..\{1ECA8F06-D064-40D2-9EBD-F68038156D2B}: NameServer = 85.255.115.29,85.255.112.140
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.140
O17 - HKLM\System\CS3\Services\Tcpip\..\{1ECA8F06-D064-40D2-9EBD-F68038156D2B}: NameServer = 85.255.115.29,85.255.112.140
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.140
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PER Antivirus Security Service (pav_security) - PER SYSTEMS S.A. - C:\Archivos de programa\Persystems\Perav\PAVSS.EXE
O23 - Service: PER Antivirus (pav_service) - PER Systems S.A. - C:\Archivos de programa\Persystems\Perav\PERVACNT.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Archivos de programa\SigmaTel\C-Major Audio\WDM\STacSV.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
-------------------------------------------------------
No se que pasa con mi PC, tengo el AVG 7 y el PER 10 actualizados.
me sale el siguiente error en varios programas este me salio en el NERO pero en otros me sale igual:
Nero Wave editor: waveedit.exe - eror de aplicaión
La instrucción en "0x01eb1643" hace referencia a la memoria en "0x02140fd0". La memoria no se puede "read".
Espero me puedan ayudar
haga click para finalizar el programa
Reporte hijackthis
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues desinstale uno de los antivirus., No debe existir mas de uno simultaneo!!!
Aparte lance el ELISTARA que le detectará y eliminará por lo menos el ALCMTXR y luego analizará el servidor de DNS configurado, que parece ser malicioso, y en su caso procederemos:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 5-04-2007
Aparte lance el ELISTARA que le detectará y eliminará por lo menos el ALCMTXR y luego analizará el servidor de DNS configurado, que parece ser malicioso, y en su caso procederemos:
ELISTARA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 5-04-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues desinstale uno de los antivirus., No debe existir mas de uno simultaneo!!!
Aparte lance el ELISTARA que le detectará y eliminará por lo menos el ALCMTR y luego analizará el servidor de DNS configurado, que parece ser malicioso, y en su caso procederemos:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 5-04-2007
Aparte lance el ELISTARA que le detectará y eliminará por lo menos el ALCMTR y luego analizará el servidor de DNS configurado, que parece ser malicioso, y en su caso procederemos:
ELISTARA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 5-04-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
reporte de elistara
Este es el resultado de ELISTAR
Sat Apr 07 13:46:37 2007
EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Sat Apr 07 14:03:20 2007
EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.115.29,85.255.112.140
Eliminada Carpeta "%WinDir%\WT"
Eliminada Carpeta "%WinSys%\LogFiles"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Apr 07 14:09:05 2007
EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart
C:\Archivos de programa\Guitar Pro 5\rse\fx\fmod\DSP_LOWPASS.DLL --> Eliminado, Dumaru BDoor-CCT
C:\Archivos de programa\AutoCAD 2004\ADIMON2.DLL --> Eliminado, AltNet
C:\Archivos de programa\On-line Help Console\INFOVIEW.EXE --> Eliminado, Spy.Delf (BHO)
C:\System Volume Information\_restore{D6B913D0-2A4C-4A40-BD95-C9DF7F3993BF}\RP57\A0038700.DLL --> Eliminado, Dumaru BDoor-CCT
C:\System Volume Information\_restore{D6B913D0-2A4C-4A40-BD95-C9DF7F3993BF}\RP77\A0053788.EXE --> Eliminado, Restart
C:\System Volume Information\_restore{D6B913D0-2A4C-4A40-BD95-C9DF7F3993BF}\RP77\A0053789.DLL --> Eliminado, Dumaru BDoor-CCT
C:\System Volume Information\_restore{D6B913D0-2A4C-4A40-BD95-C9DF7F3993BF}\RP77\A0053790.DLL --> Eliminado, AltNet
C:\System Volume Information\_restore{D6B913D0-2A4C-4A40-BD95-C9DF7F3993BF}\RP77\A0053791.EXE --> Eliminado, Spy.Delf (BHO)
Sat Apr 07 14:13:29 2007
EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Sat Apr 07 14:14:15 2007
EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
----------------------------------------
Hago todo lo que me dijiste pero sigo teniendo problemas con la memoria
Nero Wave editor: waveedit.exe - error de aplicaión
La instrucción en "0x01eb1643" hace referencia a la memoria en "0x02140fd0". La memoria no se puede "read".
haga click para finalizar el programa
---------------
espero me puedas ayudar
Sat Apr 07 13:46:37 2007
EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Sat Apr 07 14:03:20 2007
EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.115.29,85.255.112.140
Eliminada Carpeta "%WinDir%\WT"
Eliminada Carpeta "%WinSys%\LogFiles"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Apr 07 14:09:05 2007
EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\Tools\COUNTER.EXE --> Eliminado, Restart
C:\Archivos de programa\Guitar Pro 5\rse\fx\fmod\DSP_LOWPASS.DLL --> Eliminado, Dumaru BDoor-CCT
C:\Archivos de programa\AutoCAD 2004\ADIMON2.DLL --> Eliminado, AltNet
C:\Archivos de programa\On-line Help Console\INFOVIEW.EXE --> Eliminado, Spy.Delf (BHO)
C:\System Volume Information\_restore{D6B913D0-2A4C-4A40-BD95-C9DF7F3993BF}\RP57\A0038700.DLL --> Eliminado, Dumaru BDoor-CCT
C:\System Volume Information\_restore{D6B913D0-2A4C-4A40-BD95-C9DF7F3993BF}\RP77\A0053788.EXE --> Eliminado, Restart
C:\System Volume Information\_restore{D6B913D0-2A4C-4A40-BD95-C9DF7F3993BF}\RP77\A0053789.DLL --> Eliminado, Dumaru BDoor-CCT
C:\System Volume Information\_restore{D6B913D0-2A4C-4A40-BD95-C9DF7F3993BF}\RP77\A0053790.DLL --> Eliminado, AltNet
C:\System Volume Information\_restore{D6B913D0-2A4C-4A40-BD95-C9DF7F3993BF}\RP77\A0053791.EXE --> Eliminado, Spy.Delf (BHO)
Sat Apr 07 14:13:29 2007
EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
Sat Apr 07 14:14:15 2007
EliStartPage v13.70 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\
----------------------------------------
Hago todo lo que me dijiste pero sigo teniendo problemas con la memoria
Nero Wave editor: waveedit.exe - error de aplicaión
La instrucción en "0x01eb1643" hace referencia a la memoria en "0x02140fd0". La memoria no se puede "read".
haga click para finalizar el programa
---------------
espero me puedas ayudar
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Elimine esta clave:
O2 - BHO: Internet Security Class - {A75E294E-C047-4D29-B07E-37B792881BEF} - (no file)
y vemos que tiene configurados servidores DNS maliciosos,
85.255.115.29 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
85.255.112.140 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
Tras informarse con su ISP de cuales le recomiendan, puede probar cambiarlos con CONFGDNS.EXE
CONFGDNS.EXE
http://www.zonavirus.com/descargas/confgdns.asp
Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas
Tras ello reinicie y si existe alguna anomalia, testee con estos AV ONLINE e informenos del resultado, gracias:
[url=https://www.eset.es/analisis-online/][b][color=Darknesred]Antivirus ONLINE aconsejado[/color] [/b] [/url]
y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:
testeo ONLINE de virus en memoria
[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/][b][color=Darknesred]testeo ONLINE de virus en memoria[/color] [/b] [/url]
saludos
ms, 11-04-2007
O2 - BHO: Internet Security Class - {A75E294E-C047-4D29-B07E-37B792881BEF} - (no file)
y vemos que tiene configurados servidores DNS maliciosos,
85.255.115.29 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
85.255.112.140 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
Tras informarse con su ISP de cuales le recomiendan, puede probar cambiarlos con CONFGDNS.EXE
CONFGDNS.EXE
Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas
Tras ello reinicie y si existe alguna anomalia, testee con estos AV ONLINE e informenos del resultado, gracias:
y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:
testeo ONLINE de virus en memoria
saludos
ms, 11-04-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online