⚡ Descuentos en cursos en video - Lleva tu aprendizaje técnico al siguiente nivel y aprovecha precios especiales antes de que termine la oferta. 🔥 Aprovechar oferta ahora 🔥
Virus Informáticos

Malware win32/adware.virtumonde

nahi
nahi
nahi
8
hace 17 años
hace 17 años
Hola que tal, mi nombre es Nahiara, tengo un problema con un virus que me detecto el antivirus nod32, me sale el cartel de que se encontro el virus win32/adware.virtumonde en el archivo xxyyxvuS.dll en la carpeta system32. Si pongo eliminar archivo, me dice que sera eliminado despues de reiniciar el ordenador, y bien sabido es, ello no ocurre, el cartel de aviso del nod32 sigue saliendo constantemente. Tampoco me deja eliminar el archivo directamente ya que me dice que esta siendo usado por otra persona o programa. Ademas de esto, no se si por culpa de este virus o por que, en el mismo momento en que se me detecto el virus, la opcion de actualizaciones automaticas de win xp se me desactivo y por mas que quiera activarla no me deja, clickeo pero no pasa nada. Sin mas nada que decir, espero puedan solucionar mi problema, quisiera cosas que sepan que funcionan, antes de estar probando una por una y arriesgarme a romper todo. De paso, si alguien sabe, quisiera saber que es lo que hace este virus. Muchisimas gracias. Nahiara.
Comentar
eze1311
eze1311
eze1311
2.952
hace 17 años
hace 17 años
Ya que estas infectado vamos a eliminarlo de raíz para eso te pido que ejecutes esta herramienta, hace clic en Do a System scan and save a logfile; cuando genere el informe, pegalo o subilo a la pagina así te digo que eliminar para deshacerte del problema, esto no tarda mas de un minuto y no hace falta instalarlo. Hijack http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe Si tenes una duda de como usar esta herramienta hace clik en mi firma
Comentar
nahi
nahi
nahi
8
hace 17 años
hace 17 años
Unas pregs mas, de donde deshabilito restaurar sistema y como entro en modo sguro en xp
Comentar
eze1311
eze1311
eze1311
2.952
hace 17 años
hace 17 años
Fijate aca.. explica como hacerlo http://www.yoreparo.com/foros/seguridad/251332.html saludos
Comentar
eze1311
eze1311
eze1311
2.952
hace 17 años
hace 17 años
Por lo que veo el log ahora esta limpio.. seguis teniendo el problema? Podes borrar esto tambien, pero no hace falta que lo hagas en modo seguro, ejecuta el hijjack y borralo. [list:627b2be984]O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} - O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} - [/list:u:627b2be984] Saludos :)
Comentar
nahi
nahi
nahi
8
hace 17 años
hace 17 años
el antivirus me lo sigue detectando y el archivo sigue estando y no lo puedo borrar :?
Comentar
eze1311
eze1311
eze1311
2.952
hace 17 años
hace 17 años
Que raro antes si habia salido en el Hijack el xxyyxvuS.dll , pero bueno si sigue estando vamos a eliminarlo, para eso 1- Ejecuta el HijackThis.exe 2- Hace click en Open The Misc Tool Section 3- Hace click en Delete a File on reboot... 4- Busca en siguiente archivo C:\WINDOWS\SYSTEM32\xxyyxvuS.dll 5- Dale ok y reinicia. Veremos si con esto no aparece mas :)
Comentar
nahi
nahi
nahi
8
hace 17 años
hace 17 años
Cuando pongo delete file on...... se me cierra el programa, tanto ejecuto en modo normal como en modo seguro :cry: :(
Comentar
eze1311
eze1311
eze1311
2.952
hace 17 años
hace 17 años
ja se hace el dificil el virus... bueno hacelo manualmente. En Modo Seguro anda a C:\WINDOWS\SYSTEM32 y busca el archivo xxyyxvuS.dll y borralo. Acordate de poner en tu xp la opcion de mostrar todos los archivos y carpetas ocultas Aver si te deja asi.
Comentar
eze1311
eze1311
eze1311
2.952
hace 17 años
hace 17 años
Tambien borra este archivo xxyaxUkj.dll que esta en C:\WINDOWS\SYSTEM32 (son parecidos pero no iguales :P) SAludos
Comentar
nahi
nahi
nahi
8
hace 17 años
hace 17 años
Evidentemente este virus se esta haciendo el muy dificil :twisted: me esta poniendo loca :oops: no me dejo borrar ninguno de los dos, el primero me sigue diciendo que esta en uso y del segundo me dice que verifique que no lo este usando otro programa o que no este lleno ni protegido contra escritura. :cry:
Comentar
eze1311
eze1311
eze1311
2.952
hace 17 años
hace 17 años
te dice eso en modo seguro?? que raro... bueno como ultima bajate un programa que se llama Kill Box, que haria el mismo trabajo que el hijack de borrar un archivo en reboot... esperemos que este no se cierre. Saludos.
Comentar
nahi
nahi
nahi
8
hace 17 años
hace 17 años
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:24:53 p.m., on 01/10/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Archivos de programa\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\RTHDCPL.EXE C:\Archivos de programa\Eset\nod32kui.exe C:\WINDOWS\Wcgopsvc.exe C:\Archivos de programa\ENCORE\WaitableTimer.exe C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe C:\Archivos de programa\MSN Messenger\msnmsgr.exe C:\Archivos de programa\MSN Messenger\msnmsgr.exe C:\Archivos de programa\MSN Messenger\usnsvc.exe C:\Archivos de programa\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Documents and Settings\Alegre\Configuración local\Archivos temporales de Internet\Content.IE5\GJEC2809\HiJackThis[1].exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = [:: wWw.TheDanieX.CoM ::] La Pagina Numero De La Red R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {BA7F7E69-C10F-4B2C-850D-DF8D0ADF5F37} - C:\WINDOWS\system32\xxyaxUkj.dll O2 - BHO: (no name) - {C2503670-6D0E-4662-AC65-EFA76E33056C} - C:\WINDOWS\system32\xxyyxvuS.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WaitableTimer.exe] C:\Archivos de programa\ENCORE\WaitableTimer.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [tspcm] C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe O4 - HKLM\..\Policies\Explorer\Run: [C2yHutM1xi] C:\Documents and Settings\All Users\Datos de programa\xwlwpgnm\lcluleby.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file) O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file) O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Alegre\Menú Inicio\Programas\IMVU\Run IMVU.lnk O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-AR/a-UNO1/GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212010639828 O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7F164833-A53D-4B2A-8367-6DEB32C039B0}: NameServer = 200.63.155.192 200.63.155.64 O20 - Winlogon Notify: xxyyxvuS - C:\WINDOWS\SYSTEM32\xxyyxvuS.dll O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 7423 bytes
Comentar
eze1311
eze1311
eze1311
2.952
hace 17 años
hace 17 años
Bueno encontré un par de cosas que no tendrían que estar así que pasamos a eliminarlo Primero deshabilita la opción Restaurar Sistema y después inicia la pc en Modo Seguro (condiciones fundamentales). Cuando estés en modo seguro volvé a ejecutar el HijackThis, selecciona las siguientes entradas y dale a FIX: [list]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = [:: wWw.TheDanieX.CoM ::] La Pagina Numero De La Red O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {BA7F7E69-C10F-4B2C-850D-DF8D0ADF5F37} - C:\WINDOWS\system32\xxyaxUkj.dll O2 - BHO: (no name) - {C2503670-6D0E-4662-AC65-EFA76E33056C} - C:\WINDOWS\system32\xxyyxvuS.dll O4 - HKLM\..\Policies\Explorer\Run: [C2yHutM1xi] C:\Documents and Settings\All Users\Datos de programa\xwlwpgnm\lcluleby.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file) O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file) O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Alegre\Menú Inicio\Programas\IMVU\Run IMVU.lnk O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab O20 - Winlogon Notify: xxyyxvuS - C:\WINDOWS\SYSTEM32\xxyyxvuS.dll [/list:u] Para asegurarnos de que no haya quedado nada ejecuta tu antivirus actualizado (aun en modo seguro). ** NOTA: Te recomiendo que cambies el Nod32 (ya que desde mi punto de vista no es de los mejores) así que para tener una buena protección seria bueno que instales el Kaspersky Internet Security 7, Trend Micro Internet Security. Cuando termines el escaneo ejecuta el Ccleaner, tanto para limpieza de disco como de registro. Luego inicia la pc y fijate como anda eso. Espero haberte ayudado, y si queres comentame como te fue. Suerte Si tenes una duda de como usar esta herramienta hace clik en mi firma
Comentar
eze1311
eze1311
eze1311
2.952
hace 17 años
hace 17 años
Que raro que no esten esas entradas... Cuando entras a modo seguro con que cuanta te logueas? Te aparece la tuya y la de administrador? Suponiendo que entraste a la tuya intenta entrando a la otra cuenta y fijate si te aparece (si entraste primero a la de administrador intenta entrando a la de tu usuario) Otra cosita encontre este que tendrias que eliminarlas repitiendo el procedimiento anterior [list:8326436490] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = [:: wWw.TheDanieX.CoM ::] La Pagina Numero De La Red O4 - HKLM\..\Policies\Explorer\Run: [C2yHutM1xi] C:\Documents and Settings\All Users\Datos de programa\xwlwpgnm\lcluleby.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file) O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file) [/list:u:8326436490] Cuando termines con todo hace un nuevo escaneo con el hijack en modo normal y subilo asi lo veo. Saludos
Comentar
eze1311
eze1311
eze1311
2.952
hace 17 años
hace 17 años
Se me paso antes pero en el primer log habia saltado aca el virus O20 - Winlogon Notify: xxyyxvuS - C:\WINDOWS\SYSTEM32\xxyyxvuS.dll ese 020 te indica a que pertenece y te da una idea de donde hay que empezar a ver si no se borra con un simple Fix. En este caso pertenece a un valores de registro auto ejecutables (AppInit_DLLs), por lo tanto para solucionar este problema te cuento que con el cd de windows vas a tener que restaurar el archivo User32.dll, una vez hecho esto el virus no se va a ejecutar y lo vas a poder borrar manualmente. Este es uno de los peores virus que hay (te lo digo porque su limpieza lleva un poco mas de tiempo que lo común) simplemente porque se ejecutan cuando se levanta tu usuario (winlogon) y no cuando ya tenes el usuario levantado (para ponerlo en un termino burdo digamos que el virus se escribe en registro como "super usuario") Asi que queda en vos formatear o no. No tiendo a recomendar el formateo pero este es un caso especial y por lo general conviene hacerlo para arrancar todo de cero. Eso si antes hace un back up de tu información personal, pero si tenes particionado el disco no tendrías de que preocuparte. También otra cosa importante es que tengas una protección adecuada para no volver a caer en esto, para eso fijate en el los antivirus que te había recomendado antes. Un saludo y comentame que vas a hacer :)
Comentar
nahi
nahi
nahi
8
hace 17 años
hace 17 años
Bueno acabo de entrar a modo seguro,hice lo de fix pero hay 4 entradas que no me aparecieron y por lo tanto no pude arreglar: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {BA7F7E69-C10F-4B2C-850D-DF8D0ADF5F37} - C:\WINDOWS\system32\xxyaxUkj.dll O2 - BHO: (no name) - {C2503670-6D0E-4662-AC65-EFA76E33056C} - C:\WINDOWS\system32\xxyyxvuS.dll O20 - Winlogon Notify: xxyyxvuS - C:\WINDOWS\SYSTEM32\xxyyxvuS.dll Despues de borrar todas las otras le volvi a hacer un informe de lo que tenia y despues pase el ccleaner. Esto dio el nuevo informe:: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:01:41 p.m., on 01/10/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\Alegre\Mis documentos\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = [:: wWw.TheDanieX.CoM ::] La Pagina Numero De La Red R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WaitableTimer.exe] C:\Archivos de programa\ENCORE\WaitableTimer.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [tspcm] C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe O4 - HKLM\..\Policies\Explorer\Run: [C2yHutM1xi] C:\Documents and Settings\All Users\Datos de programa\xwlwpgnm\lcluleby.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file) O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file) O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Alegre\Menú Inicio\Programas\IMVU\Run IMVU.lnk O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-AR/a-UNO1/GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212010639828 O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 5471 bytes No aparecen las entradas que mencione antes. Sin embargo al reiniciar la maquina vuelve a aparecer el mensaje del antivirus diciendo que encontro el virus. PD: Muchisimas gracias por todo lo realizado hasta ahora, de hecho me solucionaron el problema de la propaganda que me aparecia en la barra del nombre de la ventana que hacia referencia a la pagina thedaniex.
Comentar
nahi
nahi
nahi
8
hace 17 años
hace 17 años
el killbox no se me cierra pero desde modo normal me dice que no se puede borrar asi que ahora voy a modo seguro a ver que pasa......esperemos que sirva............. Saludos.
Comentar
eze1311
eze1311
eze1311
2.952
hace 17 años
hace 17 años
Ah me di cuenta de algo, seguro no vas a poder eliminarlo en modo seguro... Si no podes eliminarlo (espero que si) avisame que te comento de q me di cuenta :P
Comentar
nahi
nahi
nahi
8
hace 17 años
hace 17 años
y no, obviamente este virus me va a suir molestando mucho tiempo mas.......no quiero tener que llegar a formatear la pc :(
Comentar
Leonardo M
hace 17 años
hace 17 años
Hola, usa este programita, hacé un escaneo completo. "Malwarebytes" descargalo desde aca: http://www.malwarebytes.org Espero que te ayude, saludos. Leo[/u]
Comentar
nahi
nahi
nahi
8
hace 17 años
hace 17 años
Bueno, tendre que formatear entonces...... :cry: nunca formatee win xp pero no creo que sea muy complicado jajajja......con mucha paciencia me pondre a hacer backups....... Muchisimas gracias por todo el tiempo y la paciencia. Saludos. Nahiara
Comentar
nahi
nahi
nahi
8
hace 17 años
hace 17 años
Bueno he borrado lo que me dijiste, y he vuelto a hacer el hijack en modo normal, esto es lo que tengo: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:21:15 p.m., on 01/10/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Archivos de programa\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\RTHDCPL.EXE C:\Archivos de programa\Eset\nod32kui.exe C:\WINDOWS\Wcgopsvc.exe C:\Archivos de programa\ENCORE\WaitableTimer.exe C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\wscntfy.exe C:\Archivos de programa\Internet Explorer\iexplore.exe C:\Documents and Settings\Alegre\Mis documentos\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [WebCam Go Plus Sti Service Application] Wcgopsvc O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WaitableTimer.exe] C:\Archivos de programa\ENCORE\WaitableTimer.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [tspcm] C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-AR/a-UNO1/GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212010639828 O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} - O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} - O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7F164833-A53D-4B2A-8367-6DEB32C039B0}: NameServer = 200.63.155.192 200.63.155.64 O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 5465 bytes
Comentar
eze1311
eze1311
eze1311
2.952
hace 17 años
hace 17 años
Bueno, si nunca formateaste (es bastante sencillo) fijate este post http://www.yoreparo.com/articulos/windows/como-instalar-xp.html donde explica claramente como se hace. Y si te animas particiona el disco, uno para el sistema operativo y otro para tu información personal asi si algun dia para algo parecido no tenes que estar haciendo un buck up y solamente formateas donde tenes el sistema operativo. Mucha suerte con todo :)
Comentar
Reparaciones similares solucionadas

¿Conoces una solución?

¡Aprende a reparar con estos cursos YoReparo!

¿Tienes una mejor respuesta a este tema? ¿Quieres hacerle una pregunta a nuestra comunidad y sus expertos?
Regístrate gratis