necesito ayuda por favor....

[juancar373]

Hola a todos que tal¿? Soy nuevo en el foro, y siento que mi primer mensaje sea para pedir ayuda pero estoy un poco desesperado...

Resulta que tengo un ordenador que ultimamente me da muchos problemas asi que ayer decidí hacerle un escaner online en la web de kaspersky, y bueno, parece ser que mi ordenador esta infectado. Decir que el examen no termino, lo quite en el 99% porque llevaba mas de una hora parado ahi, y no podia dejarlo mas tiempo encendido.



Os dejo un link directo al informe (para no hacer un post demasiado grande):

[url]http://www.telefonica.net/web/juankar373/informe.txt[/url]



Quisiera, si fuese posible, que me indicaseis si hay alguna forma de limpiarlo eficazmente, o si ni si quiera merece la pena (si puedo evitar formatear mucho mejor, pero si es la unica solucion...)



Espero que podais ayudarme. Muchas gracias de antemano y un saludo.

[lucl]

Bueno lo primero pasate estos dos antitrojanos que te indico y nos pegas el log que te dejaran en C infosat.txt





http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp





luego peganos log de hijackthis y lo estudiaremos. Pèro el hijackthis pasalo despues de haber ejecutado elistara y elitriip. Saludos





[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

[juancar373]

Hola y muchas gracias por contestar.

Ya he hecho todo lo que me recomiendas. Aqui pongo los informes:



[url]http://www.telefonica.net/web/juankar373/InfoSat.txt[/url]

[url]http://www.telefonica.net/web/juankar373/hijackthis.log[/url]



No he dado a lo de Fix checked ni a nada, solo cogi informes. A ver si me podeis ayudar.



Un saludo y muchas gracias de nuevo.

[Claudia34]

Esa no es la forma correcta de pegarnos los logs, debes ir a la unidad C del disco duro y ahi encontraras un archivo en formato de block de notas que tiene el nombre de InfoSat.txt , lo abres y seleccionas todo el contenido que hay dentro, lo copias y luego nos pegas el log resultante aqui en el foro para nosotros obrar en consecuencia.



Saludos.

[lucl]

Cierto, sigue las indicaciones de Claudia para que veamos los logs, especial hincapie te hago en el del hijackthis. Tienes esta entrada que he visto mirando un poco por encima que ademas carga en run que creo sea un trojano



gqswkwa.exe





la tienes en system32 renombrala con el boton derecho del raton a .VIR y subela a analizar a virustotal. Nos pegas aqui el resultado que te den, saludos



www.virustotal.com

[juancar373]

Hola de nuevo. Disculpad por colgar los informes, no sabia que debia copiarlos. He hecho el escaner del archivo que me indicas, aqui esta el resumen:



Análisis del archivo gqswkwa.exe recibido el 15.08.2008 17:46:30 (CET)

Estado actual: análisis terminado



Resultado: 0/35 (0.00%)

Compactar Imprimir resultados



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.8.15.0 2008.08.14 -

AntiVir 7.8.1.19 2008.08.15 -

Authentium 5.1.0.4 2008.08.15 -

Avast 4.8.1195.0 2008.08.15 -

AVG 8.0.0.161 2008.08.15 -

BitDefender 7.2 2008.08.15 -

CAT-QuickHeal 9.50 2008.08.14 -

ClamAV 0.93.1 2008.08.15 -

DrWeb 4.44.0.09170 2008.08.15 -

eSafe 7.0.17.0 2008.08.14 -

eTrust-Vet 31.6.6034 2008.08.15 -

Ewido 4.0 2008.08.15 -

F-Prot 4.4.4.56 2008.08.15 -

Fortinet 3.14.0.0 2008.08.15 -

GData 2.0.7306.1023 2008.08.15 -

Ikarus T3.1.1.34.0 2008.08.15 -

K7AntiVirus 7.10.417 2008.08.15 -

Kaspersky 7.0.0.125 2008.08.15 -

McAfee 5361 2008.08.14 -

Microsoft 1.3807 2008.08.15 -

NOD32v2 3359 2008.08.15 -

Norman 5.80.02 2008.08.15 -

Panda 9.0.0.4 2008.08.15 -

PCTools 4.4.2.0 2008.08.15 -

Prevx1 V2 2008.08.15 -

Rising 20.57.42.00 2008.08.15 -

Sophos 4.32.0 2008.08.15 -

Sunbelt 3.1.1546.1 2008.08.15 -

Symantec 10 2008.08.15 -

TheHacker 6.3.0.3.046 2008.08.13 -

TrendMicro 8.700.0.1004 2008.08.15 -

VBA32 3.12.8.3 2008.08.15 -

ViRobot 2008.8.14.1337 2008.08.14 -

VirusBuster 4.5.11.0 2008.08.15 -

Webwasher-Gateway 6.6.2 2008.08.15 -

Información adicional

File size: 319488 bytes

MD5...: 8b098ef4be5d0dc512954de69e45baaa

SHA1..: 08afdee6ba73244a320a9c7b194d7b2f744f988a

SHA256: 4d0a3f6de5699a151eacc43189aeaae6abaa34701b52a15a72b618d159261747

SHA512: 0ee652474d21d1252f5304a05e1bb4310e35cf0a5f161cf06d181a38c8ac48fb

e999745fa62bee6b434b6c86a70b5406a26b7d0c63227ba4b0ab09359414690b

PEiD..: Armadillo v1.71

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x402830

timedatestamp.....: 0x41b58307 (Tue Dec 07 10:16:39 2004)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x19bc 0x2000 5.81 98310c3069f645b34cf9523a89b128db

.rdata 0x3000 0x117a 0x2000 3.41 34848b7d634746a3058442ddd6b64ba7

.data 0x5000 0x48b5c 0x49000 7.32 8ba5e06f15ef12faf08d5fba4bd12e1a



( 11 imports )

> KERNEL32.dll: GetVersionExA, VirtualAlloc, VirtualProtect, ReadFileScatter, GetSystemTimeAsFileTime, AllocConsole, CompareStringA, UnmapViewOfFile, GetEnvironmentStringsW, _lopen, RaiseException, GetDiskFreeSpaceW, GetModuleHandleA, GetStartupInfoA

> USER32.dll: MapWindowPoints, wvsprintfA, WinHelpW, IntersectRect, CheckMenuRadioItem, GetWindowThreadProcessId, RegisterClassExW, MonitorFromPoint, UnregisterClassW, GetKeyboardLayoutList, SetProcessWindowStation, SetCaretPos, GetScrollBarInfo, MapVirtualKeyA, GetShellWindow, ArrangeIconicWindows, EqualRect, FindWindowExW, DrawMenuBar, InvertRect, TrackPopupMenu, GetScrollRange, ClipCursor, EnumDesktopWindows, SendMessageTimeoutW, DialogBoxParamA, GetClassInfoW, keybd_event, IsCharUpperW, GetWindowLongA, GetMenuState, UnregisterHotKey, EnumDisplaySettingsExA, CreateDesktopA, TileWindows, ScrollWindowEx, GetClipboardSequenceNumber, SendMessageTimeoutA, InvalidateRgn, CreateCaret, SetProcessDefaultLayout, GetClassInfoA, LoadKeyboardLayoutW, LoadBitmapA, SetClassLongW, DestroyIcon, DrawTextA, InternalGetWindowText, CloseDesktop, UpdateWindow, GetWindowLongW, SetMenuItemBitmaps, SetScrollPos, GetKeyNameTextW, SetWindowWord, InsertMenuItemW, GetMenuInfo, ValidateRgn, SetMessageQueue, DrawFocusRect

> GDI32.dll: CreatePolyPolygonRgn, StrokePath, UpdateColors, ExtEscape, SetBitmapDimensionEx, GetRegionData, DPtoLP, CreatePolygonRgn, GetOutlineTextMetricsW, StartPage, CreateFontA, GetCharWidth32W, OffsetRgn

> comdlg32.dll: ChooseColorA, GetSaveFileNameA, ChooseFontA

> ADVAPI32.dll: CryptReleaseContext, CryptSetProvParam, RegEnumKeyExA, GetSecurityInfo, CryptHashData, GetPrivateObjectSecurity, CreateProcessAsUserA, AllocateLocallyUniqueId, RegDeleteKeyW, GetSecurityDescriptorDacl, RegEnumValueA, RegCreateKeyExA, CreateServiceW, SetSecurityDescriptorOwner, GetAce, DeleteAce, MakeAbsoluteSD, SetNamedSecurityInfoW, EnumServicesStatusA, ImpersonateSelf, SetTokenInformation, SetFileSecurityA, GetSidLengthRequired, UnlockServiceDatabase, RegQueryValueA

> SHELL32.dll: SHGetSpecialFolderLocation, ExtractIconA, FindExecutableW

> ole32.dll: CoInitializeEx, CoLockObjectExternal, CreateOleAdviseHolder, CoTreatAsClass, StringFromGUID2, OleSetMenuDescriptor, RevokeDragDrop

> OLEAUT32.dll: -, -, -, -, -

> COMCTL32.dll: CreatePropertySheetPageA, ImageList_Add, ImageList_EndDrag

> SHLWAPI.dll: SHSetValueA, SHEnumValueW, PathIsDirectoryW, PathGetCharTypeW, StrChrW, PathIsDirectoryEmptyW, StrCatBuffA, StrRChrW, StrTrimW, StrStrW, StrStrA

> MSVCRT.dll: _acmdln, exit, _XcptFilter, _exit, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, __getmainargs



( 0 exports )





Parece que no lo encuentra como virus... ¿Alguna idea?

[lucl]

Peganos de nuevo los informes el de infosat y el de hijackthis, gracias saludos

[flacoroo]

si necesito que ejecutes el Hijackthis y lo ejecutes y nos pegues el log....para analizarlo....como ya te habian dicho anteriormente

[juancar373]

Aqui esta el log:



Logfile of HijackThis v1.99.1

Scan saved at 15:39:46, on 19/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\windows\system32\gqswkwa.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [gqswkwa] "c:\windows\system32\gqswkwa.exe" gqswkwa

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Inicio rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Estadísticas del componente Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.gig.etsii.upm.es/gigcom/diedrico/

O16 - DPF: {201B9B37-848F-40BD-90EA-7B8F0AA89D6A} - http://es6-scripts.dlv4.com/binaries/egaccess4/egaccess4_1071_em_XP.cab

O16 - DPF: {22945A69-1191-4DCF-9E6F-409BDE94D101} - http://www.solidworks.com/plugins/edrawings/download.cfm?Release=rel

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://andrepuxy.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://andrepuxy.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} (InstallShield Setup Player 2K2) - http://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

[flacoroo]

para empezar tienes 2 antivirus instalados el Kaspersky y McAfee ...elimina uno de los dos.....y aparte con el fix de HijackThis elimina estos registros.......



O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [gqswkwa] "c:\windows\system32\gqswkwa.exe" gqswkwa

O4 - Global Startup: BTTray.lnk = ?



nos dices como te va.....

[juancar373]

Hola una vez mas.Tengo dos preguntitas:

Cuando elimine esos registros, hago un escaner en algun antivirus online... o que? Supongo que deberia en primer lugar actualizar windows, y pasarle el Ad-aware o similar para limpiar un poquillo, ¿me equivoco?



Y una cosa mas, si hago una copia de seguridad de mis archivos por si tuviera que formatear finalmente, ¿es posible que dichos archivos infecten el sistema una vez formateado?



Muchas gracias a todos por la ayuda, procurare no molestar mas. Un saludo

[flacoroo]

Tras analizar el log.....debes seguir estos pasos para eliminar los procesos que te mencionaremos:

ejecuta de nuevo el HiJackThis, deja que genere el log(no es la copia que sale en block de notas) habilitas solo los procesos que te indicamos(debes tener cuidado para no equivocarte) y despues en pulsas la opcion FIX CHECKED y asi las eliminaras,

si te pide guardar una copia dale que si, despues reinicias y nos dices como va tu compu...



O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [gqswkwa] "c:\windows\system32\gqswkwa.exe" gqswkwa

O4 - Global Startup: BTTray.lnk = ?



Eso si te falta el SP3 de windows XP debes bajartelo con el windowsupdate....

tambien despues desfragmentas tu DD y pasas las herramientas que dices como el Ad-Aware o Spybot actualizados....



y si haces una copia de tus archivos y si estan infectados y formateas y despues copias de nuevos esos archivos, se te infectara de nuevo tu Pc...

[juancar373]

Vale, entendido. Voy a ponerme con todo ello a ver que tal queda.



Muchisimas gracias por la ayuda a todos y un saludo.

[msc hotline sat]

Y sube este fichero c:\windows\system32\gqswkwa.exe al VirusTotal www.virustotal.com/es y nos posteas el informe resultante



y luego nos lo envias para poder controlarlo en proximas versiones de nuestras utilidades, gracias



saludos



ms, 21 de Agosto de 2008

[juancar373]

Ya hice el analisis de ese archivo. Esta copiado unos mensajes mas arriba en este mismo post.

Un saludo

[msc hotline sat]

Pues entonces vuelvelo a dejar su extension como estaba, EXE, ya que se ha tratado de una falsa alarma ...



En tal caso lanza este AV ONLINE y posteanos el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)



saludos



ms, 21 de Agosto de 2008