Buenos días.
Aunque llevo meses luchando con esto de los virus, me ha ocurrido algo nuevo: el Internet Explorer se cierra él solo al terminar de cargar la página. Da igual que página ponga de inicio, en cuanto termina de correr la barra verde de carga, se cierra automaticamente.
Tengo instalado y actualizado el Viruscan de Mcaffe y no me detecta nada ¿qué puedo hacer? Estoy un poco perdido.
Gracias y un saludo.
Internet Explorer se cierra al cargar la página (solucionado
Prueba a pasar McAfee en modo a prueba de fallos, para ello tras apagar y volver a encender pulsa repetidas veces la tecla F8.
Si usas XP desactiva antes restaurar sistema para limpiar.
En el escritorio (pantalla normal de windows) pulsa boton derecho
del raton sobre el icono MI PC , se abrira una ventana con varias
opciones, pulsa en PROPIEDADES , se abrira otra ventana con varias
pestañas, pulsa sobre la que dice restaurar y marca la casilla
DESACTIVAR RESTAURAR SISTEMA aplicas y aceptas.
Apaga y enciende en modo seguro y podras eliminar. Una vez limpio
el PC vuelve a encender en modo normal y vuelve a dejar SIN MARCAR
la casilla DESACTIVAR RESTAURAR SISTEMA.
Saludos
maura63
Si usas XP desactiva antes restaurar sistema para limpiar.
En el escritorio (pantalla normal de windows) pulsa boton derecho
del raton sobre el icono MI PC , se abrira una ventana con varias
opciones, pulsa en PROPIEDADES , se abrira otra ventana con varias
pestañas, pulsa sobre la que dice restaurar y marca la casilla
DESACTIVAR RESTAURAR SISTEMA aplicas y aceptas.
Apaga y enciende en modo seguro y podras eliminar. Una vez limpio
el PC vuelve a encender en modo normal y vuelve a dejar SIN MARCAR
la casilla DESACTIVAR RESTAURAR SISTEMA.
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
De paso, dinos que version. y motor y DATS tienes instalado de McAfee, y el sistema operativo que usas.
(Nota: motor 4.1.60 es incompatible a partir de DATS 4367 y puede provocar cuelgues y reinicios)
saludos
ms, 5-07-2004
(Nota: motor 4.1.60 es incompatible a partir de DATS 4367 y puede provocar cuelgues y reinicios)
saludos
ms, 5-07-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Os confirmo mañana versión, motor y DATS, porque la verdad es que de memoria no me lo sé, pèro el sistema operativo es Windows XP Home Edition y el McAfee lo tengo instalado desde hace unos dos meses y hasta ahora no me había dado ningún problema. Ni cuelgues ni reinicios.
El viernes por la noche entré normalmente con el Internet Explorer y el sábado por la mañana ya empezó a cerrarse solo.
Tenía, eso sí, el edonkey descargando.
Salvo eso, el ordenador no hace nada raro.
Gracias y saludos.
El viernes por la noche entré normalmente con el Internet Explorer y el sábado por la mañana ya empezó a cerrarse solo.
Tenía, eso sí, el edonkey descargando.
Salvo eso, el ordenador no hace nada raro.
Gracias y saludos.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Usando P2P lo mas probable es que se trata de un nuevo gusano.
Recuerda que los DATS actuales son los 4372
Y si con ello no lo detectas, utiliza el SDATDAILY.
saludos
ms, 5-07-2004
Recuerda que los DATS actuales son los 4372
Y si con ello no lo detectas, utiliza el SDATDAILY.
saludos
ms, 5-07-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Sabed que McAfee ha creado los DATS 4372 este finde semana, excepciopnalmente, por la nueva variante del LOVGATE.AD, que entra por P2P, RPCDCOM, por e.mail, etc:
http://vil.nai.com/vil/content/v_126560.htm
Mirad si lo controlais, y si no actualizad.
saludos
ms, 5-07-2004:
Mirad si lo controlais, y si no actualizad.
saludos
ms, 5-07-2004:
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Buenos días:
Ayer probé a pasar el antivirus en modo seguro y desactivando restaurar sistema. Me detectó el virus W32/Riaz en un varios archivos tipo A0000116.exe y A0000250_exe.vir (renombrados hace tiempo por el Panda on line). Concretamente me detectó 32 archivos infectados de este tipo. Algunos los limpió y otros los eliminó. Pero la mayor parte, el antivirus decía que no podía ni limpiarlos ni eliminarlos. Estaban en C.\System Volumen Information\_restore{C7A4FFA0-8C90-49A4-AA19-4D43CF09A817\RP2
No obstante esto viene de una infección de hace tiempo y no daba problemas. Y el Internet Explorer sigue cerrándose.
También he obsevado que el ordenador está bajando una actualización de Windows Update desde hace dos días, y tengo ADSL y el edonkey descarga rápido ¿no es mucho tiempo?
Espero vuestras sugerencias, porque ya no sé que hacer.
Gracias y un saludo.
Ayer probé a pasar el antivirus en modo seguro y desactivando restaurar sistema. Me detectó el virus W32/Riaz en un varios archivos tipo A0000116.exe y A0000250_exe.vir (renombrados hace tiempo por el Panda on line). Concretamente me detectó 32 archivos infectados de este tipo. Algunos los limpió y otros los eliminó. Pero la mayor parte, el antivirus decía que no podía ni limpiarlos ni eliminarlos. Estaban en C.\System Volumen Information\_restore{C7A4FFA0-8C90-49A4-AA19-4D43CF09A817\RP2
No obstante esto viene de una infección de hace tiempo y no daba problemas. Y el Internet Explorer sigue cerrándose.
También he obsevado que el ordenador está bajando una actualización de Windows Update desde hace dos días, y tengo ADSL y el edonkey descarga rápido ¿no es mucho tiempo?
Espero vuestras sugerencias, porque ya no sé que hacer.
Gracias y un saludo.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
El tema de ficheros infectados en el SYSTEM VOLUME INFORMATION_RESTORE, se soluciona deshabilitando la restauracion de sistema, además de arrancar en modo seguro, para eliminar los virus en XP, como tantas veces se ha indicado en este foro.
Y el Tema de reinicios, como sea que hay nuevos virus controlados para lo cual McAfee ha hecho hoy otra version, la 4373, mira que estés bien actualizado.
Aparte, aprovechando un post de DlhNetworks sobre reinicios descontrolados, prueba de cerrar el port 5000 con la utilidad que él propone:
http://web.madritel.es/space/ftp/personales1/rcarreraf1/unpnp.exe
aparte de ver la causa que te provoca este acceso a dicho port , que posiblemente será un troyano a la escucha en dicho port. So con ello evitas el reinicio, kuego veamos los residentes y tareas y claves del inicio, pasando un HIJACKTHIS y copiandonos el log de salida en un proximo post tuyo.
De todas formas, lamza in antivirus ONLINE y un antispyware, no sea que ya esté controlado.
saludos
ms, 6-07-2004
Y el Tema de reinicios, como sea que hay nuevos virus controlados para lo cual McAfee ha hecho hoy otra version, la 4373, mira que estés bien actualizado.
Aparte, aprovechando un post de DlhNetworks sobre reinicios descontrolados, prueba de cerrar el port 5000 con la utilidad que él propone:
aparte de ver la causa que te provoca este acceso a dicho port , que posiblemente será un troyano a la escucha en dicho port. So con ello evitas el reinicio, kuego veamos los residentes y tareas y claves del inicio, pasando un HIJACKTHIS y copiandonos el log de salida en un proximo post tuyo.
De todas formas, lamza in antivirus ONLINE y un antispyware, no sea que ya esté controlado.
saludos
ms, 6-07-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Gracias por la sugerencia, msc. Mañana te cuento. No obstante, a mi el pc no se me reinicia. Simplemente Internet Explorer se cierra al terminar de cartgar la página, motivo por el cual no puedo pasar un antivirus on-line.
Y los ficheros infectados, me los detectó el McAfee estando en modo seguro.
Esta misma tarde al llegar a casa, le paso el HIJACKTHIS y mañana te copio el resultado.
Gracias por tu ayuda.
Saludos
Y los ficheros infectados, me los detectó el McAfee estando en modo seguro.
Esta misma tarde al llegar a casa, le paso el HIJACKTHIS y mañana te copio el resultado.
Gracias por tu ayuda.
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Prueba de lanzar un antivirus ONLINE arrancando en modo seguro, con funciones de red.m que ya no tendrás el virus o lo que sea en memoria y podrás conectarte a Internet.
saludos
ms, 6-07-2004
saludos
ms, 6-07-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Buenos días.
No llegué a leer tu mensaje de pasar un antivirus on-line arrancando en modo seguro con función de red hasta hace diez minutos. Hoy probaré.
Lo que si hice fué pasar el HIJACKTHIS y el resultado fué este:
Logfile of HijackThis v1.97.7
Scan saved at 15:33:57, on 06/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Network Associates\VirusScan\VsStat.exe
C:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe
C:\Archivos de programa\Common files\WinTools\WToolsS.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\VirusScan\Webscanx.exe
C:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe
C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\eDonkey2000\eDonkey2000.exe
C:\Archivos de programa\Common files\WinTools\WToolsA.exe
C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe
C:\ARCHIV~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Archivos de programa\Wanadoo\USB ADSL Modem\dslmon.exe
C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Common files\WinTools\WSup.exe
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Documents and Settings\Jose y Marián\Mis documentos\Desinfeccion\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =http://www.websearch.com/ie.aspx?tb_id=50007
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.eresmas.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =http://www.websearch.com/ie.aspx?tb_id=50007
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant =http://www.websearch.com/ie.aspx?tb_id=50007
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:\Program Files\Reg2\Reg2.dll
O2 - BHO: (no name) - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - c:\Program Files\Xmod\xm320.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\COMMON~1\WinTools\WToolsB.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [diagent] "C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [hpppta] C:\Archivos de programa\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [WindowsUpd] C:\WINDOWS\WindowsUpd4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\WindowsUpd4.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [eDonkey2000] C:\Archivos de programa\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Jreg] "C:\Program Files\Common Files\Java\Jreg2b.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinTools] C:\Archivos de programa\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [BIOS] C:\WINDOWS\BIOS.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RVP] "C:\Archivos de programa\RVP\bpc.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: ubisoft register.lnk = C:\Archivos de programa\Ubi Soft\Register\schedule.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .mpg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) -http://www.contenidospc.com/ruboskizo2.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
¿Me lo puedes traducir?
Gracias y un saludo.
No llegué a leer tu mensaje de pasar un antivirus on-line arrancando en modo seguro con función de red hasta hace diez minutos. Hoy probaré.
Lo que si hice fué pasar el HIJACKTHIS y el resultado fué este:
Logfile of HijackThis v1.97.7
Scan saved at 15:33:57, on 06/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Network Associates\VirusScan\VsStat.exe
C:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe
C:\Archivos de programa\Common files\WinTools\WToolsS.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\VirusScan\Webscanx.exe
C:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe
C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\eDonkey2000\eDonkey2000.exe
C:\Archivos de programa\Common files\WinTools\WToolsA.exe
C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe
C:\ARCHIV~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Archivos de programa\Wanadoo\USB ADSL Modem\dslmon.exe
C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Common files\WinTools\WSup.exe
C:\ARCHIV~1\WINZIP\winzip32.exe
C:\Documents and Settings\Jose y Marián\Mis documentos\Desinfeccion\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant =
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:\Program Files\Reg2\Reg2.dll
O2 - BHO: (no name) - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - c:\Program Files\Xmod\xm320.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\COMMON~1\WinTools\WToolsB.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [diagent] "C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [hpppta] C:\Archivos de programa\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [WindowsUpd] C:\WINDOWS\WindowsUpd4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\WindowsUpd4.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [eDonkey2000] C:\Archivos de programa\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Jreg] "C:\Program Files\Common Files\Java\Jreg2b.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinTools] C:\Archivos de programa\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [BIOS] C:\WINDOWS\BIOS.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RVP] "C:\Archivos de programa\RVP\bpc.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: ubisoft register.lnk = C:\Archivos de programa\Ubi Soft\Register\schedule.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .mpg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
¿Me lo puedes traducir?
Gracias y un saludo.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
El HJT ya está bien correrlo en modo normal, pues si no no te encuentra residente las tareas propias de los virus, y no las muestra. En todo caso quizás podrán verse las claves, pero hazlo en modo seguro y nos lo mandas a continuacion, así se verá la diferencia y será mas facil descubrir, por diferencia lo que carga en modo normal y que no carga en modo seguro.
Hago jornada intensiva y voy muy apretado de tiempo, por lo que así podré darle una ojeada (yo u otro) y te informamos.
Pero al mismo tiempo te pedi lanzar el UNPNP.EXE y ver si así seguía cerrandote el I.E., contestame en ti proximo post, junto con el HJT arrancando en modo seguro
saludos
ms, 6-06-2004
Hago jornada intensiva y voy muy apretado de tiempo, por lo que así podré darle una ojeada (yo u otro) y te informamos.
Pero al mismo tiempo te pedi lanzar el UNPNP.EXE y ver si así seguía cerrandote el I.E., contestame en ti proximo post, junto con el HJT arrancando en modo seguro
saludos
ms, 6-06-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Buenos días.
Ayer cerré el port 5000 y ¡sorpresa! Internet Explorer ya no se cierra solo.
Como medida de precaución, he pasado el HIJACKTHIS en modo seguro y arrancando de forma normal. He aquí los resultados:
Modo seguro:
Logfile of HijackThis v1.97.7
Scan saved at 20:14:52, on 07/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Jose y Marián\Mis documentos\Desinfeccion\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =http://www.websearch.com/ie.aspx?tb_id=50007
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.eresmas.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =http://www.websearch.com/ie.aspx?tb_id=50007
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant =http://www.websearch.com/ie.aspx?tb_id=50007
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:\Program Files\Reg2\Reg2.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\COMMON~1\WinTools\WToolsB.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [diagent] "C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [hpppta] C:\Archivos de programa\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [WindowsUpd] C:\WINDOWS\WindowsUpd4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\WindowsUpd4.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [eDonkey2000] C:\Archivos de programa\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Jreg] "C:\Program Files\Common Files\Java\Jreg2b.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinTools] C:\Archivos de programa\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [BIOS] C:\WINDOWS\BIOS.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RVP] "C:\Archivos de programa\RVP\bpc.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: ubisoft register.lnk = C:\Archivos de programa\Ubi Soft\Register\schedule.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .mpg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) -http://www.contenidospc.com/ruboskizo2.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Modo normal:
Logfile of HijackThis v1.97.7
Scan saved at 20:17:34, on 07/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Network Associates\VirusScan\VsStat.exe
C:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe
C:\Archivos de programa\Common files\WinTools\WToolsS.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\VirusScan\Webscanx.exe
C:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe
C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\eDonkey2000\eDonkey2000.exe
C:\Archivos de programa\Common files\WinTools\WToolsA.exe
C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe
C:\ARCHIV~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Archivos de programa\Wanadoo\USB ADSL Modem\dslmon.exe
C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Common files\WinTools\WSup.exe
C:\Documents and Settings\Jose y Marián\Mis documentos\Desinfeccion\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =http://www.websearch.com/ie.aspx?tb_id=50007
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.eresmas.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =http://www.websearch.com/ie.aspx?tb_id=50007
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant =http://www.websearch.com/ie.aspx?tb_id=50007
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:\Program Files\Reg2\Reg2.dll
O2 - BHO: (no name) - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - c:\Program Files\Xmod\xm320.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\COMMON~1\WinTools\WToolsB.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [diagent] "C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [hpppta] C:\Archivos de programa\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [WindowsUpd] C:\WINDOWS\WindowsUpd4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\WindowsUpd4.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [eDonkey2000] C:\Archivos de programa\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Jreg] "C:\Program Files\Common Files\Java\Jreg2b.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinTools] C:\Archivos de programa\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [BIOS] C:\WINDOWS\BIOS.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RVP] "C:\Archivos de programa\RVP\bpc.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: ubisoft register.lnk = C:\Archivos de programa\Ubi Soft\Register\schedule.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .mpg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) -http://www.contenidospc.com/ruboskizo2.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Además he pasado el Ad-aware y detecta un montón de cosas, pero no sé qué puedo borrar y qué no. Me he olvidado el log en casa ¿lo pongo en este mismo tema o abro otro?
Gracias y un saludo.
Ayer cerré el port 5000 y ¡sorpresa! Internet Explorer ya no se cierra solo.
Como medida de precaución, he pasado el HIJACKTHIS en modo seguro y arrancando de forma normal. He aquí los resultados:
Modo seguro:
Logfile of HijackThis v1.97.7
Scan saved at 20:14:52, on 07/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Jose y Marián\Mis documentos\Desinfeccion\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant =
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:\Program Files\Reg2\Reg2.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\COMMON~1\WinTools\WToolsB.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [diagent] "C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [hpppta] C:\Archivos de programa\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [WindowsUpd] C:\WINDOWS\WindowsUpd4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\WindowsUpd4.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [eDonkey2000] C:\Archivos de programa\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Jreg] "C:\Program Files\Common Files\Java\Jreg2b.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinTools] C:\Archivos de programa\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [BIOS] C:\WINDOWS\BIOS.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RVP] "C:\Archivos de programa\RVP\bpc.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: ubisoft register.lnk = C:\Archivos de programa\Ubi Soft\Register\schedule.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .mpg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
Modo normal:
Logfile of HijackThis v1.97.7
Scan saved at 20:17:34, on 07/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Network Associates\VirusScan\VsStat.exe
C:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe
C:\Archivos de programa\Common files\WinTools\WToolsS.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Archivos de programa\Archivos comunes\Network Associates\McShield\Mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\VirusScan\Webscanx.exe
C:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe
C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\eDonkey2000\eDonkey2000.exe
C:\Archivos de programa\Common files\WinTools\WToolsA.exe
C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe
C:\ARCHIV~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Archivos de programa\Wanadoo\USB ADSL Modem\dslmon.exe
C:\Archivos de programa\Sony Corporation\Image Transfer\SonyTray.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Common files\WinTools\WSup.exe
C:\Documents and Settings\Jose y Marián\Mis documentos\Desinfeccion\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant =
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - c:\Program Files\Reg2\Reg2.dll
O2 - BHO: (no name) - {7371F073-AC0F-4b80-BB2F-96A488CEFB32} - c:\Program Files\Xmod\xm320.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\ARCHIV~1\COMMON~1\WinTools\WToolsB.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [diagent] "C:\Archivos de programa\Creative\SBLive\Diagnostics\diagent.exe" startup
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [hpppta] C:\Archivos de programa\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [WindowsUpd] C:\WINDOWS\WindowsUpd4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\WindowsUpd4.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [eDonkey2000] C:\Archivos de programa\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Jreg] "C:\Program Files\Common Files\Java\Jreg2b.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinTools] C:\Archivos de programa\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [BIOS] C:\WINDOWS\BIOS.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RVP] "C:\Archivos de programa\RVP\bpc.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: ubisoft register.lnk = C:\Archivos de programa\Ubi Soft\Register\schedule.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .mpg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) -
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
Además he pasado el Ad-aware y detecta un montón de cosas, pero no sé qué puedo borrar y qué no. Me he olvidado el log en casa ¿lo pongo en este mismo tema o abro otro?
Gracias y un saludo.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Bueno, por lo menos hemos conseguido algo !
Y hoy estamos con una gran novedad, el control con nuevos DAT 4374 de un backdoor.CFB cuya clave al parecer no se controla con el HJT, y que arrancando en modo seguro no hay el fichero de marras, y arrancando en modo normal, no se deja mover ni renombrar !
Enterate por si se tratara de lo mismo, con la descripcion equivalente de Trend:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_AGENT.AC&VSect=T
Si algo de lo descrito coincide con lo tuyo, será cuestión de aplicar la solucion que encontremos al respecto. Estamos en ello.
saludos
ms, 8-07-2004
Y hoy estamos con una gran novedad, el control con nuevos DAT 4374 de un backdoor.CFB cuya clave al parecer no se controla con el HJT, y que arrancando en modo seguro no hay el fichero de marras, y arrancando en modo normal, no se deja mover ni renombrar !
Enterate por si se tratara de lo mismo, con la descripcion equivalente de Trend:
Si algo de lo descrito coincide con lo tuyo, será cuestión de aplicar la solucion que encontremos al respecto. Estamos en ello.
saludos
ms, 8-07-2004
Última edición por msc hotline sat el 08 Jul 2004, 12:22, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Selecciona con HJT esta entrada
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) -http://www.contenidospc.com/ruboskizo2.cab
la marcas y pulsa FIX.
Saludos
maura63
PD. y estamos con un bicho nuevo que se las trae
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) -
la marcas y pulsa FIX.
Saludos
maura63
PD. y estamos con un bicho nuevo que se las trae
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pasamos a implementar dicha clave en el ELISTARA.EXE, para que sea eliminada del registro si es detectada, aparte de que en docho nuevo ELISTARA lo potenciaremos para permitir la busqueda y eliminacion de ficheros ocultos según metodos especificos de NTFS, que hasta ahora nos impedían acceder a ficheros en dichas particiones.
saludos
ms, 8-07-2004
saludos
ms, 8-07-2004
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Bien, pues siguiendo tus indicaciones, cerramos el Tema
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online