Necesito Ayuda Urgente

Carlos Sáez · Mensaje por **Carlos Sáez** » 07 Dic 2005, 14:29

Lo que he podido ver es que tengo un troyano en la carpeta C:\windows\inet20002 y dicha carpeta no la puedo eliminar.

El explorer me da muchos errores y me dice que algunas paginas no se pueden abrir y que la operación está anulada.

El antivirus no puedo abrirlo, ni el centro de seguridad de XP.

Aqui teneis el log de mi PC:

Logfile of HijackThis v1.99.1

Scan saved at 12:35:54, on 07/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\atmpole2.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\inet20002\services.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\mtppaaaa.exe

C:\Archivos de programa\Archivos comunes\eAcceleration\eanthology.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\srshost.exe

C:\Archivos de programa\Back2zip\Back2zip.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\ACCELE~1\ANTI-V~1\STOPSI~1.EXE

C:\Archivos de programa\Microsoft Office\Office10\OUTLOOK.EXE

C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE

C:\WINDOWS\inet20002\mm.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\Archivos de programa\Ahead\nero\nero.exe

C:\Archivos de programa\Archivos comunes\Ahead\AudioPlugins\RMADEC.EXE

C:\WINDOWS\system32\imapi.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\usuario\Mis documentos\Descargas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=Explorer.exe,atmpole2.exe

F3 - REG:win.ini: run=C:\WINDOWS\inet20002\services.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe,C:\WINDOWS\system32\atmpole2.exe,C:\Documents and Settings\usuario\Datos de programa\Explorer\atmpole2.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20002\3.00.11.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\system32\autorun.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Microsoft Windows System] mtppaaaa.exe

O4 - HKLM\..\Run: [Protocol Windows] C:\WINDOWS\system32\atmpole2.exe

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20002\services.exe

O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Archivos de programa\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus

O4 - HKLM\..\Run: [EanthologyApp] "C:\Archivos de programa\Archivos comunes\eAcceleration\eanthology.exe" /b Startup

O4 - HKLM\..\RunServices: [Microsoft Windows System] mtppaaaa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe

O4 - HKCU\..\Run: [Protocol Windows] C:\WINDOWS\system32\atmpole2.exe

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20002\services.exe

O4 - Startup: Back2zip.lnk = C:\Archivos de programa\Back2zip\Back2zip.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: KVG.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{399502A0-0CF1-4EFE-A824-8C863BA914C4}: NameServer = 195.235.113.3,195.235.96.90

O17 - HKLM\System\CS1\Services\Tcpip\..\{399502A0-0CF1-4EFE-A824-8C863BA914C4}: NameServer = 195.235.113.3,195.235.96.90

O17 - HKLM\System\CS2\Services\Tcpip\..\{399502A0-0CF1-4EFE-A824-8C863BA914C4}: NameServer = 195.235.113.3,195.235.96.90

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - C:\WINDOWS\system32\jbefghka.dll

O21 - SSODL: Protocol Player - {ECFAFC0B-B958-4EBC-85D5-6FFED2E7F9BB} - C:\WINDOWS\system32\mchgmgvw.dll

O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe

Mensaje por **maura63** » 07 Dic 2005, 15:04

Entre otra basura tienes

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20002\services.exe [color=red]TROYANO[/color]

Pasa antivirus y antispyware y despues de limpiar nos vuelves a pegar un nuevo log.

Saludos

maura63

Mensaje por **maura63** » 07 Dic 2005, 15:08

Antes de nada desactiva la restauracion del sistema

( Solo sistemas XP ) Desactivar restauracion del sistema

http://www.zonavirus.com/descargas/srestore.asp

Saludos

maura63

Mensaje por **msc hotline sat** » 07 Dic 2005, 15:15

Y como bien dice D. Maura63 estás bien servido de troyanos, CWS, Inets y demás

Procede antes de eliminar mas claves, eliminar antes los virus y troyanos, como indicamos en:

https://foros.zonavirus.com/viewtopic.php?t=5148

saludos

ms, 7-12-2005

Carlos Sáez · Mensaje por **Carlos Sáez** » 09 Dic 2005, 09:51

Aqui teneis el resultado de mi nuevo log, despues de haber pasado varios antivirus y spyware on line.

Espero que me podais ayudar.

Logfile of HijackThis v1.99.1

Scan saved at 9:46:44, on 9/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe

C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=Explorer.exe,atmpole2.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe,C:\WINDOWS\system32\atmpole2.exe,C:\Documents and Settings\usuario\Datos de programa\Explorer\atmpole2.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\system32\autorun.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Microsoft Windows System] mtppaaaa.exe

O4 - HKLM\..\Run: [Protocol Windows] C:\WINDOWS\system32\atmpole2.exe

O4 - HKLM\..\RunServices: [Microsoft Windows System] mtppaaaa.exe

O4 - HKLM\..\RunOnce: [Panda_cleaner_231325] C:\WINDOWS\system32\ActiveScan\pavdr.exe 231325

O4 - HKLM\..\RunOnce: [Panda_cleaner_231326] C:\WINDOWS\system32\ActiveScan\pavdr.exe 231326

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKCU\..\Run: [Protocol Windows] C:\WINDOWS\system32\atmpole2.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: KVG.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{399502A0-0CF1-4EFE-A824-8C863BA914C4}: NameServer = 195.235.113.3,195.235.96.90

O17 - HKLM\System\CS1\Services\Tcpip\..\{399502A0-0CF1-4EFE-A824-8C863BA914C4}: NameServer = 195.235.113.3,195.235.96.90

O17 - HKLM\System\CS2\Services\Tcpip\..\{399502A0-0CF1-4EFE-A824-8C863BA914C4}: NameServer = 195.235.113.3,195.235.96.90

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - C:\WINDOWS\system32\jbefghka.dll (file missing)

O21 - SSODL: Protocol Player - {ECFAFC0B-B958-4EBC-85D5-6FFED2E7F9BB} - C:\WINDOWS\system32\mchgmgvw.dll

O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe

Mensaje por **msc hotline sat** » 09 Dic 2005, 11:21

Pues sigues teniendo cantidad de malwares.

De entrada, sabes lo que es eso de atmpole2.exe que cargas en el inicio ???

Iré preparando un informe, pero hay claves que se han de restaurar, no eliminar

Mientras, contestame a las preguntas que te iré haciendo, como esta, como respuesta de este Tema, gracias

saludos

ms, 9-12-2005

Mensaje por **msc hotline sat** » 09 Dic 2005, 11:52

Estás cargando un AUTORUN.EXE no logico en XPSP2. Es que copiaste el contenido de un CDROM y este autorun es copia del del CDROM ??? O es una aplicacion que conoces ???

Espero respuestas.

saludos

ms, 9-12-2005

Carlos Sáez · Mensaje por **Carlos Sáez** » 09 Dic 2005, 12:00

No tengo ni idea de que es nada de eso.

no tengo ni idea.

es posible ke sea el programa backup2zip?

Mensaje por **msc hotline sat** » 09 Dic 2005, 12:00

Esta otra aplicacion no es conocida: mtppaaaa.exe

Dinos si es voluntaiamente instalada por tí o si no es malware y la eliminariamos...

espero respuestas

ms,

Carlos Sáez · Mensaje por **Carlos Sáez** » 09 Dic 2005, 12:03

eso tampoco se lo que es.

Mensaje por **msc hotline sat** » 09 Dic 2005, 12:23

Vistas las dos respuestas, procede con lo siguiente:

-> Elimina estas claves (Lanza el HJT, marcalas y eliminalas con FIX):

R3 - Default URLSearchHook is missing

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

04 - HKLM\..\Run: [Soltek] C:\WINDOWS\system32\autorun.exe

O4 - HKLM\..\RunServices: [Microsoft Windows System] mtppaaaa.exe

O4 - HKCU\..\Run: [Protocol Windows] C:\WINDOWS\system32\atmpole2.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab

O21 - SSODL: SysTray.Exgr - {5368D1FC-4F5C-4f1b-B134-E67214FC78E9} - C:\WINDOWS\system32\jbefghka.dll (file missing)

-> Estas claves deben restaurarse, NO ELIMINARSE !!!:

F2 - REG:system.ini: Shell=Explorer.exe,atmpole2.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe,C:\WINDOWS\system32\atmpole2.exe,C:\Do cuments and Settings\usuario\Datos de programa\Explorer\atmpole2.exe

Para ello debes ejecutar el siguiente REG:

_______________________________________________________________________________

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"Shell"="Explorer.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"Run"=""

_______________________________________________________________________________

Selecciona el script entre lineas, copialo al portapapeles (ALT-C), pegala en el bloc de notas (ALT-V) y guardalo como XPINI.REG y luego ejecutas con doble click dicho fichero y aceptas los cambios.

-> Estas dos claves parecen ser de actualizaciones pendientes de Panda y estan en un RUNONCE que debe ejecutarse una sola vez ???

O4 - HKLM\..\RunOnce: [Panda_cleaner_231325] C:\WINDOWS\system32\ActiveScan\pavdr.exe 231325

O4 - HKLM\..\RunOnce: [Panda_cleaner_231326] C:\WINDOWS\system32\ActiveScan\pavdr.exe 231326

-> y el KVG.EXE podría ser este troyano: http://www.microsoft.com/en/us/default.aspxsecurity/encyclopedia/details.aspx?name=TrojanDownloader:Win32/Delf.DH

si no lo conoces de otra cosa, elimina esta clave:

O4 - Global Startup: KVG.exe

-> Y estas dos claves son desconocidas, mira si conoces la aplicacion, y si no eliminalas:

O21 - SSODL: Protocol Player - {ECFAFC0B-B958-4EBC-85D5-6FFED2E7F9BB} - C:\WINDOWS\system32\mchgmgvw.dll

O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe

Y tras todo esto, reinicia y cientanos el resultado y si persisten los problemas, para obrar en consecuencia

saludos

ms, 9-12-2005

Carlos Sáez · Mensaje por **Carlos Sáez** » 09 Dic 2005, 13:04

Aqui tienes el resultado del log,

Logfile of HijackThis v1.99.1

Scan saved at 13:03:04, on 09/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\inet20002\services.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\amgkjaaa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\srshost.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\Back2zip\Back2zip.exe

C:\WINDOWS\inet20002\mm.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\WINDOWS\system32\dllcache\IExplore.exe

C:\Archivos de programa\Microsoft Office\Office10\OUTLOOK.EXE

C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE

C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe,winisext.exe

F3 - REG:win.ini: run=C:\WINDOWS\inet20002\services.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\winisext.exe,C:\Documents and Settings\usuario\Datos de programa\Explorer\winisext.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Microsoft Windows System] amgkjaaa.exe

O4 - HKLM\..\Run: [Protocol Windows] C:\WINDOWS\system32\winisext.exe

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20002\services.exe

O4 - HKLM\..\RunServices: [Microsoft Windows System] amgkjaaa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe

O4 - HKCU\..\Run: [Protocol Windows] C:\WINDOWS\system32\winisext.exe

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20002\services.exe

O4 - Startup: Back2zip.lnk = C:\Archivos de programa\Back2zip\Back2zip.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{399502A0-0CF1-4EFE-A824-8C863BA914C4}: NameServer = 195.235.113.3,195.235.96.90

O17 - HKLM\System\CS1\Services\Tcpip\..\{399502A0-0CF1-4EFE-A824-8C863BA914C4}: NameServer = 195.235.113.3,195.235.96.90

O17 - HKLM\System\CS2\Services\Tcpip\..\{399502A0-0CF1-4EFE-A824-8C863BA914C4}: NameServer = 195.235.113.3,195.235.96.90

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O21 - SSODL: Protocol Player - {E3FA2D5C-C252-4F85-8333-12161DAAF175} - C:\WINDOWS\system32\scesrror.dll

Carlos Sáez · Mensaje por **Carlos Sáez** » 09 Dic 2005, 13:07

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20002\services.exe

Todos los antivirus me decian que era un troyano, y según veo sigue en el mismo sitio.

Y el antivirus sigue sin funcionarme.

No consigo abrirlo.

Mensaje por **maura63** » 09 Dic 2005, 13:08

Sigues teniendo un troyano dentro.

No usas en antivirus residente :?: :?: es primordial

estas es nueva, busca y elimina en C

C:\WINDOWS\inet20002\services.exe

Saludos

maura63

Mensaje por **msc hotline sat** » 09 Dic 2005, 15:47

Esta clave es la primera que se le indicó que eliminara, y so se le ha resistido puede ser que equiera ser eliminada arrancando en modo seguro y deshabilitando la restauracion de sistema

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20002\services.exe

Pruebe de arrancar en este modo y la elimina con el HJT, y a continuacion vea que lanzando otra vez el HJT ya no le aparece, y reinicie, y vea si ya está todo resuelto, y sino, nos indica lo que detecta y nos postea un nuevo log del HJT t remataremos la lumpieza, que ya debe faltar poco ! :lol:

Y si se le resistiera esta clave, diganoslo y le pediríamos muestra para analizar el fichero en cuestion e implementar su control y eliminacion en nuestras utilidades.

saludos

ms, 9-12-2005

Necesito Ayuda Urgente

Necesito Ayuda Urgente

Ya he hecho todo lo que me dijisteis. Resultado

He realizado todo lo que me indicas

Que es esto?