W32.HLLW.Gaobot.gen??? (Terminado)

[flaxs]

Hola. una vez mas recurro a ustedes porque al parecer mi computadora esta infectada.

pase el antivirus y me salio



c:/windows/avupdchk.exe esta infectado con W32.HLLW.Gaobot.gen



qué es esto?? me podrian ayudar??

muchas gracias

yo.

[cañera]

mira si puedes eliminarlo siguiendo los pasos de este link;

https://foros.zonavirus.com/viewtopic.php?t=46

cuentanos como te fue.

[flaxs]

me olvide decirles que tengo windows 98.

[carolxsiempre]

Entonce bájate la utilidad, reinicia tu pc en modo a prueba de fallos y la corres.



http://www.zonavirus.com/descargas/EliRPCA.exe



Saludos

Carolxsiempre

[flaxs]

queria saber si ese archivo (avupdchk.exe) es parte del sistema y si puedo borrarlo, porque a pesar de pasar el antivirus y los parches que me indicas a modo prueba de fallos sigue infectado.

[msc hotline sat]

El AVUPDCHK.EXE no es del sistema operativo Windows 98, sino que al parecer es un gusano o troyano que desactiva residentes de seguridad, según puede verse en la informacion del siguiente link:



http://techrepublic.com.com/5208-6230-0.html?forumID=4&threadID=151149&start=0



No encontramos mas informaicon de este fichero, si bien podría ser de una variante de Gaobot que no estuviera controlada.



Mueva este fichero a un directorio de cuarentena, y envienoslo anexado a un mail cuyo texto sea un copiar y pegar de este post. Así podremos contestarle como respuesta a este Tema, y potenciar el ELIRPCA.EXE incluyendo el control de dicho fichero, su vemos que contiene el Gaobot de marras.



saludos



ms, 10-05-2004

[flaxs]

ok. ya les mande el archivo. espero que les sirva de algo y puedan ayudarme y ayudar a otras personas que quiza tengan este mismo problema.



una vez mas, gracias

[msc hotline sat]

Recibida la muestra, con el antivirus de McAfee se detecta el Gaobot..worm.gen.F , que no entra por agujero RPC, pues es anterior al aprovechamiento del agujero del Lovsan o Blaster.



De todas formas, por ser un Gaobot lo implementamos en nuestra utilidad ELIRPCA.EXE, v 4.6 que subiremos hoy a esta web, el cual además controlará tambien el SVCHOST del W32/Cycle.A



http://www.zonavirus.com/descargas/EliRPCA.exe



Si bien supongo que lo eliminó siguiendo nuestras instrucciones, convendrá que baje y ejecute dicha utilidad, que aun sin encontrar el gusano si ya no está operativo, restaurará las claves que este hubiera tocado en el registro.



Agradecemos su colaboracion al enviarnos la muestra, lo cual beneficia a todos, empezando por Vd según indicado.



Saludos



ms, 12-05-2004

[msc hotline sat]

Y comento que al ensayar la muestra para ver las claves de registro que instala, este Gaobot.F nos ha provocado un Shutdown y consiguiente apagado del ordenador con sistema Windows98, lo cual cabe saber si algun usuario utiliza dicho sistema y se le apaga la máquina, lo cual es típico de muchas consultas de este foro, lo cual puede ser provocado por este gusano.



Pero en dicho sistema no queda instalado ni se carga en el siguiente reinicio, solo provoca el "AHORA PUEDE APAGAR EL EQUIPO"



Si es el caso, vean si tienen dicho fichero AVUPDCHK:EXE en el equipo, y si lo tienen, ejecuten el ELIRPCA > 4.6



saludos



ms, 12-05-2004

[flaxs]

espero que esto haya ayudado a mucha gente como yo, desesperada y sin saber qué hacer!.. y gracias a ustedes por toda su ayuda.



ahora veremos como va la compu y espero no tener más problemas

[msc hotline sat]

Pruebe con el nuevo ELIRPCA.EXE v 4-6 que ya está en esta web, y díganos si se le ha resuelto el problema.



Y efectivamente, todas las aportaciones al foro sirven para todos, pues los problemas de aalguien hoy pueden ser los de otros mañana, y así vamos ayudandonos muruamente.



saludos



ms, 13-05-2004

[flaxs]

So far so good... hasta ahora todo va bien.

Después de haber bajado el ELIRPCA.EXE v 4-6 todo anda mucho mejor. El internet ya no parpadea, y la computadora va mucho más rápido.



Hoy leí un nuevo tema que dice "INTERNET PARPADEA".. eso era lo que me pasaba. Quiza sería bueno recomendarle que se baje la utilidad y ver como le va.



Gracias nuevamente.

[msc hotline sat]

Pues muchas gracias por su indicación que le parpadeaba internet antes de eliminar dicho Gaobot.



Efectivamente vamos a consejarselo al usuario del "parpadeo"





Y nos congratulamos por haber conseguido eliminar el problema.



saludos



ms, 13-05-2004

[efraingh]

Hola, de nuevo dando un poco de lata al foro, espero me puedan ayudar.



Pues con la novedad de que un amigo me decia que le fallaba el acceso a internet y que se reiniciaba con la cuenta atras de 60 seg. segun. Yo estuve checando eso, con el modem de 56K y no me marco error o que se reiniciara, pero al tener problemas el, pues intente echarle un ojo al sistema, para empezar creo que hizo una act. de win 98/Me a XP Pro, y el NAV 2003 estuvo instalado para Win9x y ahora con XP no esta del todo ajustado por la actualizacion que trate de hacerle, me marco que no podia instalar una de las actualizaciones, porque no era NAV para NT, asi que pues no tenia AV para checar la PC, entonces, baje algunas utilerias como el elirpca, elilsa y elisassa para ver si detectaban algun gusano de esos, que normalmente hacen la cuenta atras, pero nada, los pase en prueba de fallos y nada tambien, pase el xcleaner_free y detecto algunos espias, aunque no creo que sea problema por eso de que le marque error, pero los elimine, ya que luego me marcaban permiso para entrar a babe.the-killer.bz o a cfh.countere.com y no se que o quien pida ese acceso. Ahorita lleve la pc a una red donde tienen ADSL para conectarla y pasar symantec AV online, aunque detuve el primer intento porque lo inicie con win normal y me empezo a checar la carpeta de restaurar sistema, asi que lo deshabilite y reinicie en modo a prueba de fallos con funciones de red, pero al detener la primera limpieza online, me dijo que detecto 1 archivo infectado, este es:



sec.exe con el virus w32.HLLW.Gaobot.gen



Por eso que escribo en este tema, aunque segun leo con el ELIRPCA deberia detectarlo y eliminarlo, no lo hizo.



Al escribir esto aun no termina el escaneo en linea del PC, asi que de momento solo les pregunto si quieren que le envie la muestra del archivo, espero que no lo borre aun el AV Online.



Por cierto, que el sistema no tiene ningun parche, asi que una vez que termine la limpieza, pasare el windowsupdate para que baje los parches necesarios.



Saludos a todo el foro y espero comentarios, acerca de que mas puedo hacer en caso de que el virus que ha detectado no lo elimine.



Efrain

[efraingh]

Hola de nuevo, ya tengo algunas pistas de los virus que tenia la Pc que le comentaba en el anterior post.



Al terminar el chequeo de virus en linea con Symantec AV, me marco 2 virus, los cuales son:



Ubicacion Nombre del Virus

C:\sec.exe w32.hllw.gaobot.gen

C:\windows\system32\wuam.exe w32.Randex.gen



Pues con esta informacion, renombre dichos archivos y los puse en una carpeta aparte, con el comentario de que el wuam.exe tenia atributos de oculto, sistema y solo lectura, asi que procedi a quitarlos con attrib.



Despues los copie a un diskette, para ver si los podia enviar a ustedes, en caso de que los quisieran, sin embargo al meter el diskette en una PC con antivirus de mcafee los detecto aun renombrados, pero con otros nombres. Entonces si los quieren luego los tendre que copiar de nuevo, o mandarlos desde la pc infectada, aunque necesitare algun programa de zip ya que el xp no tiene activo y no veo por donde activar la opcion, recordaba que venia en agregar o quitar programas, pero ya le busque y no lo veo. Aunque checando las fechas de creacion de los archivos en la pc y las fechas de las paginas de informacion al respecto, parece ser que ya estan controlados, aunque en esa pc, parece que el NAV no esta instalado residente, por problemas de actualizacion de win98 a XP, pasaron la mayoria de los programas pero el NAV quedo para 98 y no para NT y creo que ese es el problema de no estar residente, porque se lo trato de marcar y me sale error, ademas busca un archivo navapsvc.exe en archivos de programa\norton pero no esta puesto, creo que por lo mismo de la version.



Los nombres de mcafee son:



w32.hllw.gaobot.gen = w32/gaobot.worm.gen.r

pagina con un poco de info, pero recomiendan la segunda para mas info: http://vil.nai.com/vil/content/v_125638.htm

http://vil.nai.com/vil/content/v_100785.htm



w32.randex.gen = w32/sdbot.worm.gen.i

pagina con un poco de info, pero recomiendan la segunda para mas info:

http://vil.nai.com/vil/content/v_125000.htm

http://vil.nai.com/vil/content/v_100454.htm



Espero comentarios al respecto de si envio las muestras.



Efrain

[efraingh]

Por cierto, se me olvido preguntarles, es muy necesario borrar las particiones administrativas, en este caso con el virus sdbot?, ya que la informacion algo menciona al respecto.



Ahora, eso hay que hacerlo siempre, o con una vez que se borren, la proxima que el sistema las cree ya estaran libres de virus, o estas no se infectan, solo sirven para propagar el virus?



Mi otra duda es, ¿si la pc la conecte a la red para checar en linea, puede que haya infectado algunas particiones administrativas y este latente el virus, en este caso estaba 1 PC con win98, tambien se crean particiones administrativas en win98?



Espero respuesta a esto ultimo ya que sino entonces quedara infectada la pc con win98



Efrain

[maura63]

Para el randex



http://www.zonavirus.com/descargas/EliSlutA.exe



Y sobre comparticiones administrativas



http://www.satinfo.es/web/2003/comparticions.html



Saludos

maura63

[efraingh]

Ok, he pasado la utileria de elisluta y no me detecto nada, espero que aun asi haya reparado algun registro que haya editado el virus. Con respecto a las comparticiones, entonces solo las versiones con tecnologia NT, en este caso nt 4, 2000, xp y 2003 trabajan con esas unidades y son vulnerables, win98 no es vulnerable en ese sentido.



Bueno, ahora aparte de los dos primeros virus que detecte en la PC, uno el hllw.gaobot y el otro randex o sdbot, encontre otro por medio del hijackthis, que es la pagina de inicio, y si me marcaba una pagina de inicio, que la cambiaba a mano y en el reinicio volvia a poner otra vez la pagina, baje la utileria de elistara pero no me detectaba el virus, y cambiaba la pagina de inicio pero lo mismo en el reinicio volvia a cambiarse, aun en prueba de fallos. Ahora bien, el nombre del virus con el mcafee es startpage-dl el cual segun leia lo detecta desde hace tiempo igual que la utileria de elistara, pero como es que no lo detecto el elistara, aqui el encontrarlo fue cuando lo renombre y pase a diskette y limpie el diskette en otra pc, y fue cuando vi que tambien era virus.



Asi que:



Ubicacion Nombre del virus

C:\windows\system32\winmm64.exe Startpage-dl



Segun la fecha de creacion del archivo era del dia 9/08/04 de 15 KB y me parece que crea un archivo con nombre z.exe en la raiz o C: ya que ahi encontre uno con la misma fecha aunque ese no lo detecta como virus, ya que esta vacio con 0 KB. Tal vez este virus afecte a alguno de los foreros que no hay podido eliminar el virus de pagina de inicio con elistara.



Sigo a la espera como les comentaba en los 2 post anteriores al igual que en este si quieren que les envie por mail las muestras de dichos virus.



Efrain

[efraingh]

Ahora aqui les pego el primer resultado del hijackthis para ver donde me base para ver el archivo raro de winmm64.exe



Logfile of HijackThis v1.97.7

Scan saved at 01:00:51 p.m., on 25/08/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

C:\Archivos de programa\CHAT\InCD.exe

C:\Archivos de programa\ScanButton 2.4\ScanButton.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\msiexec.exe

D:\chequeo\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=cfh

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_1_6_0.DLL

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_1_6_0.DLL

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\CHAT\InCD.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: ScanButton 2.4.lnk = C:\Archivos de programa\ScanButton 2.4\ScanButton.exe

O9 - Extra button: Investigador (HKLM)

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Yahoo! Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O12 - Plugin for .mid: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll

O16 - DPF: Win32 Classes -

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093391829077

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {DF7A9F1F-E06B-4BE7-A27E-1BE7EA5AFC1C} (Infosistemas Class) - http://www.infodialer3000.com/perfiles2/infosistemas3000.cab

O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab

[efraingh]

En este otro les pongo ya sin el winmm64 que lo elimine a mano, renombrando el archivo y sacandolo de la carpeta de windows\system32 y quitando la llave del registro.





Logfile of HijackThis v1.97.7

Scan saved at 01:19:47 p.m., on 25/08/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

C:\Archivos de programa\CHAT\InCD.exe

C:\Archivos de programa\ScanButton 2.4\ScanButton.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

D:\chequeo\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://countere.com/?b=cfh

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://countere.com/?a=2&b=cfh

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://countere.com/?a=2&b=cfh

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://countere.com/?a=2&b=cfh

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://countere.com/?a=2&b=cfh

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_1_6_0.DLL

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_1_6_0.DLL

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\CHAT\InCD.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: ScanButton 2.4.lnk = C:\Archivos de programa\ScanButton 2.4\ScanButton.exe

O9 - Extra button: Investigador (HKLM)

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Yahoo! Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O12 - Plugin for .mid: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll

O16 - DPF: Win32 Classes -

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093391829077

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {DF7A9F1F-E06B-4BE7-A27E-1BE7EA5AFC1C} (Infosistemas Class) - http://www.infodialer3000.com/perfiles2/infosistemas3000.cab

O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab





Sin embargo aun veo basura en algunas llaves, pero no se si eliminarlas asi nada mas, o quitar solo el valor ya que hay llaves que se eliminan y vuelven a ser colocadas por el sistema pero otras no, asi que no se que hacer, espero me puedan recomendar que hacer, o si lo hago con el hijackthis, nunca le he dado a reparar, solo sacar el log. Aparte, para que sirve el aboutbuster?, es un complemento del hijackthis? ya que algo menciona que primero debo ejecutar el hijackthis y creo que eliminar varias cosas excepto R1 y R0, pero si puedes explicar que es exactamente lo que hay que hacer, de favor.



Saludos y he escrito 3 post en este momento para que no solo lean este ultimo :)



Efrain

[efraingh]

Hola, aqui tengo el ultimo resultado del hijackthis, ya pasandole de nuevo el elistara, elimino algunas entradas del registro de IE, pero aun tengo algunas dudas de que otras cosas podria quitar.



Otra cosa que me llama la atencion son:

en el primer log: C:\WINDOWS\System32\msiexec.exe

en el segundo log: C:\WINDOWS\System32\wuauclt.exe



Pero al parecer son del sistema, pero si podrian decirme si estoy correcto o no.



Logfile of HijackThis v1.97.7

Scan saved at 03:35:54 p.m., on 25/08/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

C:\Archivos de programa\CHAT\InCD.exe

C:\Archivos de programa\ScanButton 2.4\ScanButton.exe

C:\WINDOWS\System32\svchost.exe

D:\chequeo\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_1_6_0.DLL

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_1_6_0.DLL

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\CHAT\InCD.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\YAHOO!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: ScanButton 2.4.lnk = C:\Archivos de programa\ScanButton 2.4\ScanButton.exe

O9 - Extra button: Investigador (HKLM)

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Yahoo! Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O12 - Plugin for .mid: C:\ARCHIV~1\INTERN~1\PLUGINS\npqtplugin.dll

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093391829077

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {DF7A9F1F-E06B-4BE7-A27E-1BE7EA5AFC1C} (Infosistemas Class) - http://www.infodialer3000.com/perfiles2/infosistemas3000.cab

O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab



Efrain

[maura63]

efraingh, voy a cerrar este tema pues se esta liando entre lo que expuso el autor del mismo y lo que tu añades. [color=red]Aparte te comento que compruebes si tienes la version del IE en 6.0 + SP1 [/color]creo que te faltan actualizaciones y mientras no las descargues seguiras teniendo problemas.



Logfile of HijackThis v1.97.7

Scan saved at 03:35:54 p.m., on 25/08/2004

Platform: Windows XP (WinNT 5.01.2600)

[color=red]MSIE: Internet Explorer v6.00 (6.00.2600.0000)[/color]



Cierro el tema, lo compruebas y te actualizas.Si tienes algun otro problema abre otro post exponiendolo.



Saludos

maura63