Ntos.exe
Quisiera saber como puedo eliminar ''ntos.exe''..Imagino que es un troyano.Cuando enciendo mi pc desde hace dias me sale un aviso de abrir archivo, y cuando paso el spybot me lo detecta pero no puede eliminarlo.
Alguien podria ayudarme?
muchas gracias
Alguien podria ayudarme?
muchas gracias
1 Respuesta
Respuesta de inkognitu
1
No se ha eliminado del todo.
Las tres primeras son del mismo malware, lo que pienso que eso sólo son librerías que usaba el fallecido ntos.exe.
El valor del registro es simplemente un resídio que ha quedado en el registro de Windows. Luego lo quitamos, lo más importante es quitar los archivos infectados aunque sean inocuos ahora.
Tienes que eliminar esa carpeta "wsnpoem", no creo que tengas problemas para eliminarla, hazlo manualmente, ve a system32 y elimina la carpeta.
Si no te deja, usa el Pocket Killbox, selecciona Delete on reboot y la derecha pulsa en All files. Luego añades el archivo audio.dll y video.dll + cualquier otro que tengas dentro del directorio wsnpoem.
Pulsas en la X y te pedirá reiniciar.
Cuando hayas terminado de hacer esto, reinicia y analiza el sistema con el HijackThis, pegando otro log aquí para que vea como ha quedado.
Dime también si el spybot o tu antivirus detectan algún archivo infectado más.
Es importante que me digas si los problemas que presupongo que tenías con el ordenador al infectarte por ese malware han desaparecido, o si tienes algún problema desde entonces.
No te preocupes, no abusas. Tú no tienes por qué saber de estas cosas. Alguien tiene echarte un cable, digo yo.
Las tres primeras son del mismo malware, lo que pienso que eso sólo son librerías que usaba el fallecido ntos.exe.
El valor del registro es simplemente un resídio que ha quedado en el registro de Windows. Luego lo quitamos, lo más importante es quitar los archivos infectados aunque sean inocuos ahora.
Tienes que eliminar esa carpeta "wsnpoem", no creo que tengas problemas para eliminarla, hazlo manualmente, ve a system32 y elimina la carpeta.
Si no te deja, usa el Pocket Killbox, selecciona Delete on reboot y la derecha pulsa en All files. Luego añades el archivo audio.dll y video.dll + cualquier otro que tengas dentro del directorio wsnpoem.
Pulsas en la X y te pedirá reiniciar.
Cuando hayas terminado de hacer esto, reinicia y analiza el sistema con el HijackThis, pegando otro log aquí para que vea como ha quedado.
Dime también si el spybot o tu antivirus detectan algún archivo infectado más.
Es importante que me digas si los problemas que presupongo que tenías con el ordenador al infectarte por ese malware han desaparecido, o si tienes algún problema desde entonces.
No te preocupes, no abusas. Tú no tienes por qué saber de estas cosas. Alguien tiene echarte un cable, digo yo.
Hola...hice todo lo que me dijiste, pero la carpeta wsnpoem no esta en system 32..la busque en todo el pc tambien y no me sale por ninguna parte.
Despues use el Pocket Killbox e hice lo que me decias pero me sale esto
''pendingfilerenameoperationsregistry data has beeb remove by external process!''
Asi que creo que estoy otra vez en el punto 0 porq al pasar otra vez el HijackThis me sale esto
Logfile of HijackThis v1.99.1
Scan saved at 23:28:57, on 27/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE
C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\MSN Messenger\livecall.exe
C:\WINDOWS\system32\spider.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\WINXP\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mx.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mx.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://mx.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add a new emoticon - C:\unzipped\MessengerMixLive_1.1[1]\MessengerMixLive_1.1\MixCE.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Set as My Display Picture - C:\unzipped\MessengerMixLive_1.1[1]\MessengerMixLive_1.1\MixDP.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O16 - DPF: {2D0CBE69-DAFC-11D3-96D2-0020182E2E27} - http://www.call2net.com/download/call2net.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EB25585-D3A8-4E7D-94C9-663C581A2068}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{9816ADE4-7DCF-4C6A-83D7-3FED8CA5D62D}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{7EB25585-D3A8-4E7D-94C9-663C581A2068}: NameServer = 80.58.61.250 80.58.61.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - (no CLSID) - (no file)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
y con el spybot sigue apareciendo esto
Win32.Agent.pz: Carpeta de programa (Carpeta, nothing done)
C:\WINDOWS\system32\wsnpoem\
Win32.Agent.pz: Biblioteca (Archivo, nothing done)
C:\WINDOWS\system32\wsnpoem\audio.dll
Win32.Agent.pz: Biblioteca (Archivo, nothing done)
C:\WINDOWS\system32\wsnpoem\video.dll
Win32.Agent.pz: Configuración (Valor del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit=...C:\WINDOWS\system32\ntos.exe,...
te juro que me tiene harta esto y a la vez intrigada porque me pregunto..que hago mal para no poder eliminarlo?
Despues use el Pocket Killbox e hice lo que me decias pero me sale esto
''pendingfilerenameoperationsregistry data has beeb remove by external process!''
Asi que creo que estoy otra vez en el punto 0 porq al pasar otra vez el HijackThis me sale esto
Logfile of HijackThis v1.99.1
Scan saved at 23:28:57, on 27/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE
C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\MSN Messenger\livecall.exe
C:\WINDOWS\system32\spider.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\WINXP\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mx.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mx.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://mx.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add a new emoticon - C:\unzipped\MessengerMixLive_1.1[1]\MessengerMixLive_1.1\MixCE.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Set as My Display Picture - C:\unzipped\MessengerMixLive_1.1[1]\MessengerMixLive_1.1\MixDP.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O16 - DPF: {2D0CBE69-DAFC-11D3-96D2-0020182E2E27} - http://www.call2net.com/download/call2net.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EB25585-D3A8-4E7D-94C9-663C581A2068}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{9816ADE4-7DCF-4C6A-83D7-3FED8CA5D62D}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{7EB25585-D3A8-4E7D-94C9-663C581A2068}: NameServer = 80.58.61.250 80.58.61.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - (no CLSID) - (no file)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
y con el spybot sigue apareciendo esto
Win32.Agent.pz: Carpeta de programa (Carpeta, nothing done)
C:\WINDOWS\system32\wsnpoem\
Win32.Agent.pz: Biblioteca (Archivo, nothing done)
C:\WINDOWS\system32\wsnpoem\audio.dll
Win32.Agent.pz: Biblioteca (Archivo, nothing done)
C:\WINDOWS\system32\wsnpoem\video.dll
Win32.Agent.pz: Configuración (Valor del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit=...C:\WINDOWS\system32\ntos.exe,...
te juro que me tiene harta esto y a la vez intrigada porque me pregunto..que hago mal para no poder eliminarlo?
Puedes eliminarlo al reiciniar con Pocket Killbox.
Te recomiendo que te bajes el HijackThis de aqui:
http://www.majorgeeks.com/HijackThis_d3155.html
Lo ejecutas, pulsas en Do a system scan and save a log file y pegas el contenido del log como respuesta a este mensaje. Así te asegurarás de que no tienes nada más.
Te recomiendo que te bajes el HijackThis de aqui:
http://www.majorgeeks.com/HijackThis_d3155.html
Lo ejecutas, pulsas en Do a system scan and save a log file y pegas el contenido del log como respuesta a este mensaje. Así te asegurarás de que no tienes nada más.
es esto lo que me dices? no soy una experta..la verdad
Logfile of HijackThis v1.99.1
Scan saved at 16:21:27, on 26/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\MSN Messenger\livecall.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\WINXP\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mx.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mx.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://mx.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add a new emoticon - C:\unzipped\MessengerMixLive_1.1[1]\MessengerMixLive_1.1\MixCE.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Set as My Display Picture - C:\unzipped\MessengerMixLive_1.1[1]\MessengerMixLive_1.1\MixDP.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O16 - DPF: {2D0CBE69-DAFC-11D3-96D2-0020182E2E27} - http://www.call2net.com/download/call2net.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EB25585-D3A8-4E7D-94C9-663C581A2068}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{9816ADE4-7DCF-4C6A-83D7-3FED8CA5D62D}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{7EB25585-D3A8-4E7D-94C9-663C581A2068}: NameServer = 80.58.61.250 80.58.61.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - (no CLSID) - (no file)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
SI VES ALGO RARO, PORFAVOR DIMELO Y AYUDAME A ELIMINARLO
Logfile of HijackThis v1.99.1
Scan saved at 16:21:27, on 26/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\MSN Messenger\livecall.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\WINXP\Escritorio\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mx.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mx.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://mx.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add a new emoticon - C:\unzipped\MessengerMixLive_1.1[1]\MessengerMixLive_1.1\MixCE.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Set as My Display Picture - C:\unzipped\MessengerMixLive_1.1[1]\MessengerMixLive_1.1\MixDP.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O16 - DPF: {2D0CBE69-DAFC-11D3-96D2-0020182E2E27} - http://www.call2net.com/download/call2net.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EB25585-D3A8-4E7D-94C9-663C581A2068}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{9816ADE4-7DCF-4C6A-83D7-3FED8CA5D62D}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{7EB25585-D3A8-4E7D-94C9-663C581A2068}: NameServer = 80.58.61.250 80.58.61.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - (no CLSID) - (no file)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
SI VES ALGO RARO, PORFAVOR DIMELO Y AYUDAME A ELIMINARLO
En el log se muestran las dos entradas que ha creado el troyano para iniciarse con Windows:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
Si marca esas entradas y pulsa en Fix Checked (en el HijackTHis), quitará del inicio el troyano y podrá eliminarlo.
Puede finalizar el proceso ntos.exe desde el admiistrador de tareas (teclas control+alt+supr) y luego eliminarlo.
También puede usar el Pocket Killbox para eliminarlo al reiniciar:
http://www.bleepingcomputer.com/files/killbox.php
Eso solucionará el problema.
Si tiene alguna duda o se queda atascado consúlteme.
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
Si marca esas entradas y pulsa en Fix Checked (en el HijackTHis), quitará del inicio el troyano y podrá eliminarlo.
Puede finalizar el proceso ntos.exe desde el admiistrador de tareas (teclas control+alt+supr) y luego eliminarlo.
También puede usar el Pocket Killbox para eliminarlo al reiniciar:
http://www.bleepingcomputer.com/files/killbox.php
Eso solucionará el problema.
Si tiene alguna duda o se queda atascado consúlteme.
ante todo...un enorme gracias inkognitu.
Gracias por tu rapidez de respuesta y por todo tu ayuda.Hice lo qu eme dijiste y lo elimine.Ya no aparece mas ese bendito ntos.exe al iniciar y parece que gracias a ti consegui eliminarlo de mi pc.Ahora pase el spybot y cual es mi sorpresa aparece esto
Win32.Agent.pz: Carpeta de programa (Carpeta, nothing done)
C:\WINDOWS\system32\wsnpoem\
Win32.Agent.pz: Biblioteca (Archivo, nothing done)
C:\WINDOWS\system32\wsnpoem\audio.dll
Win32.Agent.pz: Biblioteca (Archivo, nothing done)
C:\WINDOWS\system32\wsnpoem\video.dll
Win32.Agent.pz: Configuración (Valor del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit=...C:\WINDOWS\system32\ntos.exe,...
cuando intento eliminarlo dice que reinicie, lo hice pero el problema sigue ahi.
Yo sinceramente , no quiero abusar de tu ayuda y si quieres seguir ayudandome te lo agradeceria y mucho
Un beso
Gracias por tu rapidez de respuesta y por todo tu ayuda.Hice lo qu eme dijiste y lo elimine.Ya no aparece mas ese bendito ntos.exe al iniciar y parece que gracias a ti consegui eliminarlo de mi pc.Ahora pase el spybot y cual es mi sorpresa aparece esto
Win32.Agent.pz: Carpeta de programa (Carpeta, nothing done)
C:\WINDOWS\system32\wsnpoem\
Win32.Agent.pz: Biblioteca (Archivo, nothing done)
C:\WINDOWS\system32\wsnpoem\audio.dll
Win32.Agent.pz: Biblioteca (Archivo, nothing done)
C:\WINDOWS\system32\wsnpoem\video.dll
Win32.Agent.pz: Configuración (Valor del registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit=...C:\WINDOWS\system32\ntos.exe,...
cuando intento eliminarlo dice que reinicie, lo hice pero el problema sigue ahi.
Yo sinceramente , no quiero abusar de tu ayuda y si quieres seguir ayudandome te lo agradeceria y mucho
Un beso
El directorio debe de tener los atributos de "oculto".
Abre cualuquier carpeta y ve a Herramientas> Opciones de carpeta, ve a la pestaña Ver y selecciona "Mostrar todos los archivos ocultos y de sistema".
Al deshabilitarse el "pendingfilerenameoperationsregistry" que es la entrada del registro en la que el Pocket Killbox añade los archivos para eliminar al reiniciar, no se eliminan los archivos.
En la lista de procesos, aparecen demasiados msnmsgr.exe y eso no es normal.
Antes de eliminar el directorio de marras, ve a Inicio> ejecutar y escribe esto:
REGSVR32 /u C:\Windows\System32\wsnpoem\audio.dll
Pulsa en Enter, luego escribe esto y pulsa enter:
REGSVR32 /u C:\Windows\System32\wsnpoem\video.dll
Ahora elimina el directorio.
Si aún así no te deja.
Reinicia el ordenador y entra a Windows en modo seguro, cuando se encienda el ordenador mantén pulsada o pulsa repetidamente la tecla F8 hasta que te salga un menu, en el menú seleccionas Modo seguro y entas como Administrador (la contraseña seguramente esté en blanco).
Prueba a eliminar la carpeta desde ahí.
El Spybot es útil, pero sería más útil la información del análisis del sistema con tu antivirus, a ver qué encuentra. Tiene pinta de haber algo más.
Te repito que es muy importante que me digas si Windows funciona mal o hace cosas raras.
Abre cualuquier carpeta y ve a Herramientas> Opciones de carpeta, ve a la pestaña Ver y selecciona "Mostrar todos los archivos ocultos y de sistema".
Al deshabilitarse el "pendingfilerenameoperationsregistry" que es la entrada del registro en la que el Pocket Killbox añade los archivos para eliminar al reiniciar, no se eliminan los archivos.
En la lista de procesos, aparecen demasiados msnmsgr.exe y eso no es normal.
Antes de eliminar el directorio de marras, ve a Inicio> ejecutar y escribe esto:
REGSVR32 /u C:\Windows\System32\wsnpoem\audio.dll
Pulsa en Enter, luego escribe esto y pulsa enter:
REGSVR32 /u C:\Windows\System32\wsnpoem\video.dll
Ahora elimina el directorio.
Si aún así no te deja.
Reinicia el ordenador y entra a Windows en modo seguro, cuando se encienda el ordenador mantén pulsada o pulsa repetidamente la tecla F8 hasta que te salga un menu, en el menú seleccionas Modo seguro y entas como Administrador (la contraseña seguramente esté en blanco).
Prueba a eliminar la carpeta desde ahí.
El Spybot es útil, pero sería más útil la información del análisis del sistema con tu antivirus, a ver qué encuentra. Tiene pinta de haber algo más.
Te repito que es muy importante que me digas si Windows funciona mal o hace cosas raras.
