Quitar herramientas de hacking

Quisiera saber cómo he de hacer para eliminar de mi pc las herramientas de hacking y rootkits. El otro día como el pc iba lento últimamente y me hacía cosas raras lo sometí a un chequeo por internet con ActiveScan Pro y me encontró 3 virus que presuntamnete eliminó y 16 spyware, además de 6 herramientas de hacking y rootkits (que no sé que es) .
¿Cómo los puedo borrrar? Tengo el informe con una serie de direcciones pero tengo miedo de borrar algún archivo necesario para los programas.

1 Respuesta

Respuesta
1
Copia y pega el reporte del antivirus para saber dónde están y cuáles son. Te diré cómo proceder.
Este es el informe del activeScan:
Incidencia Estado Elemento
Herramienta potencialmente no deseada:Application/MyWay No desinfectado C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
Herramienta potencialmente no deseada:Application/MyWebSearch No desinfectado C:\Archivos de programa\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
Herramienta potencialmente no deseada:application/funweb No desinfectado c:\archivos de programa\FunWebProducts
Herramienta potencialmente no deseada:application/myway No desinfectado c:\archivos de programa\MyWay
Herramienta potencialmente no deseada:application/mywebsearch No desinfectado hkey_classes_root\clsid\{147A976E-EEE1-4377-8EA7-4716E4CDD239}
Adware:Adware/Yazzle No desinfectado C:\Archivos de programa\Archivos comunes\Yazzle1122OinUninstaller.exe
Herramienta potencialmente no deseada:Application/MyWay No desinfectado C:\Archivos de programa\MyWay\myBar\1.bin\NPMYWAY.DLL
Posible Virus. No desinfectado C:\Archivos de programa\WinTouch\WTUninstaller.exe
Adware:Adware/Yazzle No desinfectado C:\Documents and Settings\Yoli\Configuración local\Temp\b116.exe
Adware:Adware/PurityScan No desinfectado C:\Documents and Settings\Yoli\Configuración local\Temp\b130.exe
Adware:Adware/DeluxeComunications No desinfectado C:\Documents and Settings\Yoli\Configuración local\Temp\b136.exe
Adware:Adware/ActiveSearch No desinfectado C:\Documents and Settings\Yoli\Configuración local\Temp\b138.exe
Adware:Adware/Lop No desinfectado C:\Documents and Settings\Yoli\Configuración local\Temp\bis12.exe
Adware:Adware/DeluxeComunications No desinfectado C:\WINDOWS\system32\drivers\core.sys
Descarga esto:
http://www.majorgeeks.com/downloadget.php?id=5554&file=10&evp=4122712c2af084c815e5fd4f2b249d83
Pulsa en Do a system scand and sabe a log file only, copia y pega el contenido del log como respuesta a este mensaje.
Hola acabo de leer tu mensaje y tengo un problemilla.He ido a la página que me indicas y resulta que está en inglés y no entiendo nada, aún así he pinchado en un punto y he descargado algo así como "VERSION TRACKER-PRO-WINDOWS" Y ME PARECE QUE ESO NO ES PORQUE NO ENCUENTRO el Do a system... ese que dices; además primero sale otra ventana (también en inglés, algo de registro, compra o no se que) y si la cierro para acceder a la principal (el programa en si supongo) también este se cierra.
Me parece que esto es más complicado de lo que pensaba para una novata como yo
Veamos, en principio debería aparecerte una ventana para descargar el archivo (hijackthis.exe) al entrar en la página.
"Your download of Trend Micro HijackThis will automatically start in a few seconds...
Click here if it does not."
Significa que: La descarga de Hijackthis empezará automáticamente en pocos segundos...
Haz click aquí si no empieza.
Por lo que si no empieza haz click donde indican y no en otro sitio.
Lo que te has descargado no es lo que yo te indico.
No te preocupes, no es complicado. Te ayudaré a dejar tu ordenador bien limpio.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:24:30, on 29/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb02.exe
C:\Archivos de programa\WinTouch\WinTouch.exe
C:\WINDOWS\tjlwsu.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Words\Words.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Yoli\Configuración local\Archivos temporales de Internet\Content.IE5\4XGNWHWL\HiJackThis[1].exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Archivos de programa\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {E171431F-85F9-8B7E-D97C-88ADDCBA74E0} - C:\WINDOWS\system32\dgdfvy.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb02.exe
O4 - HKLM\..\Run: [SHOW ANTE LIES CHIN] C:\Documents and Settings\All Users\Datos de programa\twoblahshowante\Mapi wave.exe
O4 - HKLM\..\Run: [WinTouch] C:\Archivos de programa\WinTouch\WinTouch.exe
O4 - HKLM\..\Run: [SfKg6w] C:\WINDOWS\tjlwsu.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Viduku] C:\Archivos de programa\Viduku\Viduku.exe /delay
O4 - HKCU\..\Run: [Words] C:\Archivos de programa\Words\Words.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = E:\Reader\reader_sl.exe
O4 - Global Startup: VersionTracker Pro.lnk = ?
O8 - Extra context menu item: &Search - http://speedbar.myway.com/menusearch.html?p=MG2
O8 - Extra context menu item: Add to AMV Converter... - E:\AMVConverter\grab.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - E:\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O24 - Desktop Component 0: (no name) - http://embrujando.iespana.es/embrujando/rosas_malvas.jpg
--
End of file - 5479 bytes
Hay varias infecciones.
Antes de empezar, quiero ver si alguna aparece en Agregar o quitar programas.
En el Hijackthis, haz click en Open the Misc Tools sections> Open Uninstall Manager> Save list...
Eso guardará una lista del software que tienes instalado, copia y pega el contenido de esa lista como respuesta a este mensaje y empezamos.
ACDSee 8
Actualización de seguridad para el Reproductor de Windows Media (KB911564)
Actualización de seguridad para el Reproductor de Windows Media 10 (KB917734)
Actualización de seguridad para el Reproductor de Windows Media 6.4 (KB925398)
Actualización de seguridad para el Reproductor de Windows Media 9 (KB917734)
Actualización de seguridad para Windows XP (KB911562)
Actualización de seguridad para Windows XP (KB911567)
Actualización de seguridad para Windows XP (KB913580)
Actualización de seguridad para Windows XP (KB914388)
Actualización de seguridad para Windows XP (KB914389)
Actualización de seguridad para Windows XP (KB917159)
Actualización de seguridad para Windows XP (KB917344)
Actualización de seguridad para Windows XP (KB917422)
Actualización de seguridad para Windows XP (KB917953)
Actualización de seguridad para Windows XP (KB918118)
Actualización de seguridad para Windows XP (KB918439)
Actualización de seguridad para Windows XP (KB918899)
Actualización de seguridad para Windows XP (KB919007)
Actualización de seguridad para Windows XP (KB920213)
Actualización de seguridad para Windows XP (KB920214)
Actualización de seguridad para Windows XP (KB920670)
Actualización de seguridad para Windows XP (KB920683)
Actualización de seguridad para Windows XP (KB920685)
Actualización de seguridad para Windows XP (KB921398)
Actualización de seguridad para Windows XP (KB921883)
Actualización de seguridad para Windows XP (KB922616)
Actualización de seguridad para Windows XP (KB922760)
Actualización de seguridad para Windows XP (KB922819)
Actualización de seguridad para Windows XP (KB923191)
Actualización de seguridad para Windows XP (KB923414)
Actualización de seguridad para Windows XP (KB923689)
Actualización de seguridad para Windows XP (KB923694)
Actualización de seguridad para Windows XP (KB923980)
Actualización de seguridad para Windows XP (KB924191)
Actualización de seguridad para Windows XP (KB924270)
Actualización de seguridad para Windows XP (KB924496)
Actualización de seguridad para Windows XP (KB924667)
Actualización de seguridad para Windows XP (KB925454)
Actualización de seguridad para Windows XP (KB925486)
Actualización de seguridad para Windows XP (KB925902)
Actualización de seguridad para Windows XP (KB926255)
Actualización de seguridad para Windows XP (KB926436)
Actualización de seguridad para Windows XP (KB927779)
Actualización de seguridad para Windows XP (KB927802)
Actualización de seguridad para Windows XP (KB928090)
Actualización de seguridad para Windows XP (KB928255)
Actualización de seguridad para Windows XP (KB928843)
Actualización de seguridad para Windows XP (KB929123)
Actualización de seguridad para Windows XP (KB929969)
Actualización de seguridad para Windows XP (KB930178)
Actualización de seguridad para Windows XP (KB931261)
Actualización de seguridad para Windows XP (KB931768)
Actualización de seguridad para Windows XP (KB931784)
Actualización de seguridad para Windows XP (KB932168)
Actualización de seguridad para Windows XP (KB933566)
Actualización de seguridad para Windows XP (KB935839)
Actualización de seguridad para Windows XP (KB935840)
Actualización para Windows XP (KB900485)
Actualización para Windows XP (KB911280)
Actualización para Windows XP (KB916595)
Actualización para Windows XP (KB920872)
Actualización para Windows XP (KB922582)
Actualización para Windows XP (KB927891)
Actualización para Windows XP (KB929338)
Actualización para Windows XP (KB930916)
Actualización para Windows XP (KB931836)
Actualización para Windows XP (KB936357)
Ad-Aware SE Personal
Adobe Flash Player ActiveX
Adobe Reader 7.0.9 - Español
Azureus
Combined Community Codec Pack 2006-07-28 (Remove Only)
Compresor WinRAR
Corel Paint Shop Pro X
eMule
FreeRIP v2.96
Google Toolbar for Internet Explorer
HachaPro
HijackThis 2.0.2
hp deskjet 640c series (Quitar sólo)
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 9
Java(TM) SE Runtime Environment 6 Update 1
Language pack for Ad-Aware SE
Microsoft Office 2000 SR-1 Professional
Microsoft Office Professional Edition 2003
MP3 Player Utilities 4.05
MSN
MSXML 4.0 SP2 (KB927978)
My Search Bar
Nero 7 Demo
Panda ActiveScan
PowerDVD
Reproductor de Windows Media 10
Scan Manager 5.2
Scientific Atlanta WebSTAR 2000 series Cable Modem
Search Assistant - My Search
Windows Media Format Runtime
Te recomiendo que descargues el archivo hijackthis.exe y lo pongas dentro de un directorio (HJT en el escritorio), no lo ejecutes directamente desde el cuadro de diálogo donde te da la opción de Abrirlo o Guardarlo. Piensa que el programa crea copias de seguridad, si lo ejecutas desde un directorio temporal no se guardarán dichas copias.
Dime si conoces estos programas y si lo has instalado tú:
C:\Archivos de programa\Viduku\Viduku.exe
C:\Archivos de programa\Words\Words.exe
Desinstala estos programas desde Agregar o quitar programas:
My Search Bar
Search Assistant - My Search
Descarga e instala esto (lo usaremos después):
http://www.malwarebytes.org/fa-esp-setup.exe
Pulsa en el Hijackthis Do a system scan only y marca estas entradas (es posible que algunas no las tengas al haber desinstalado los otros programas anteriormente):
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Archivos de programa\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {E171431F-85F9-8B7E-D97C-88ADDCBA74E0} - C:\WINDOWS\system32\dgdfvy.dll (file missing)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [SHOW ANTE LIES CHIN] C:\Documents and Settings\All Users\Datos de programa\twoblahshowante\Mapi wave.exe
O4 - HKLM\..\Run: [WinTouch] C:\Archivos de programa\WinTouch\WinTouch.exe
O4 - HKLM\..\Run: [SfKg6w] C:\WINDOWS\tjlwsu.exe
O8 - Extra context menu item: &Search - http://speedbar.myway.com/menusearch.html?p=MG2
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe (file missing)
Cuando las tengas marcadas, pulsa en Fix checked.
Ahora con el FileAssassin (teniendo marcada las cuatro casillas, incluida la de Eliminar el archivo), fíjate uno por uno la ruta de los archivos que te indico que marques en el HijackThis, copias y pegas la ruta en el FileAssassin de uno en uno y pulsa en Ejecutar, así secusavemente con todos los archivos.
Un ejemplo sería: C:\WINDOWS\tjlwsu.exe eso es lo que tienes que pegar en el programa.
Ve a Inicio> Ejecutar y escribe: %temp% elimina todos los archivos y carpetas de ese directorio.
Vuelve a analizar el ordenador con el antivirus, repite la operación que acabas de realizar con el FileAssasin, pero ahora con los archivos que se indican en el reporte del antivirus.
Cuando hayas terminado, reinicia el ordenador.
Vuelve a pulsar en Do a system scand and sabe a log file, vuelve a analizar el ordenador con el antivirus y pégame los dos reportes como respuesta a este mensaje a ver cómo ha quedado y si ha resistido alguna infección.
Parece complicado pero no lo es, sigue mis instrucciones y si tienes alguna duda, pregúntamela antes de empezar.
A ver si me he enterado, esto:"Te recomiendo que descargues el archivo hijackthis.exe y lo pongas dentro de un directorio (HJT en el escritorio), no lo ejecutes directamente desde el cuadro de diálogo donde te da la opción de Abrirlo o Guardarlo." ¿quieres decir que en vez de ejecutar le a guardar y lo ponga en el escritorio?
De los programas por los que me preguntas:
C:\Archivos de programa\Viduku\Viduku.exe
C:\Archivos de programa\Words\Words.exe
El 1º no me suena de nada y el segundo pues tampoco porque el Word que yo instalé fue el del office y a este le sobra la s.
Hola otra vez, mira de los archivos que tenía que poner en el Hijackthis solo he encontrado 3 :
O2 - BHO: (no name) - {E171431F-85F9-8B7E-D97C-88ADDCBA74E0} - C:\WINDOWS\system32\dgdfvy.dll (file missing)
O4 - HKLM\..\Run: [SHOW ANTE LIES CHIN] C:\Documents and Settings\All Users\Datos de programa\twoblahshowante\Mapi wave.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe (file missing)
estos otros:
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Archivos de programa\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
No me salen en el Hijackthis pero al mirar en la dirección que tienen resulta que si están y son los que el otro día antes de pedir ayuda no me dejaba borrar
Sí, en vez de darle a Ejecutar, pulsa en Guardar y guardalo dentro de una carpeta en el escritorio de nombre HJT.
Los dos archivos, Viduku.exe y Words.exe, te agradecería que los metieras dentro de un rar o un zip y subas el archivo a http://www.mytempdir.com/, luego me das el enlace para que los descargue y me asegure de que no son una amenaza.
Es normal que no te aparezcan las 4 entradas referentes al MyWay, piensa que los has desinstalado desde Agregar o quitar programas.
Si todavía están, puedes eliminar sin problemas el directorio MyWay de Archivos de programa.
Una cosa, para prevenir que elimines un archivo que no toca, no uses el FileAssassin con los archivos que detecta el antivirus. Cuando me pongas el nuevo log de HijackThis y el nuevo reporte del antivirus te diré cuáles puedes eliminar. Más vale prevenir que curar.
El Viduku no me aparece en el ordenador, ni en agregar o quitar prigramas ni en archivos de programa ni con el buscador.
El Words a ver como hago porque nunca he colgado nada en internet.
De todas formas he seguido las instrucciones anteriores y estos son los informes:
Incidencia Estado Elemento
Herramienta potencialmente no deseada:application/myway No desinfectado hkey_current_user\software\MyWay
Herramienta potencialmente no deseada:application/mywebsearch No desinfectado hkey_local_machine\software\FocusInteractive
Herramienta potencialmente no deseada:application/funweb No desinfectado hkey_local_machine\software\Fun Web Products
Adware:Adware/DeluxeComunications No desinfectado C:\WINDOWS\system32\drivers\core.sys Ahora el del Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:08:20, on 30/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb02.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Words\Words.exe
E:\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\Documents and Settings\Yoli\Escritorio\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb02.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Viduku] C:\Archivos de programa\Viduku\Viduku.exe /delay
O4 - HKCU\..\Run: [Words] C:\Archivos de programa\Words\Words.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = E:\Reader\reader_sl.exe
O8 - Extra context menu item: Add to AMV Converter... - E:\AMVConverter\grab.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - E:\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O24 - Desktop Component 0: (no name) - http://embrujando.iespana.es/embrujando/rosas_malvas.jpg
--
End of file - 4522 bytes
El log está limpio, no veo infecciones claras aunque habría que despejar las dudas referentes al Viduku y al Words.
En el reporte del antivirus sólo queda un archivo infectado, elimínalo con el FileAssassin, es este:
C:\WINDOWS\system32\drivers\core.sys
Luego se muestran tres entradas del registro, puedes eliminarlas manualmente. Ve a Inicio> Ejecutar, escribe regedit y pulsa en Aceptar.
Ve a:
hkey_current_user\software\
Verás que ahí tienes una que se llama "MyWay", selecciónala y pulsa en Archivo> Exportar, lo guardas como Myway en el escritorio. Esto es una copia de seguridad de esa entrada por si ocurriera algo, una vez que reinicies y no tengas problemas lo puedes eliminar del escritorio.
Luego haces click con el botón secundario del mouse y pulsa en Eliminar.
Repite la operación en:
hkey_local_machine\software\
Con los siguientes:
FocusInteractive
Fun Web Products
En cuanto a que no ves el directorio Viduku en Archivos de programa, seguramente tenga el atributo de oculto.
Ve a Herramientas> Opciones de carpeta, pestaña Ver, selecciona "Mostrar todos los archivos y carpetas ocultos" y pulsa en Aceptar. Ahora deberías ver el directorio.
Veo que tienes el WinRAR, para meter los dos archivos Words.exe y Viduku.exe, copiarlos al escritorio por ejemplo, los seleccionas los dos a la vez, pulsas sobre uno de ellos con el botón secundario del mouse y seleccionas Añadir al archivo, te aparerá una ventana del WinRAR, pulsa en Aceptar y verás que se ha creado un archivo .RAR en el escritorio, ábrelo y confirma que dentro estén los dos archivos. Ahora ya puedes subirlos a la página y darme el enlace que te aparece una vez que subes el archivo (ej. mytempdir.com/números). Yo los analizaré.
Felicidades, has hecho un buen trabajo. No olvides decirme si has notado algún problema, mejoría, etc.
Una vez que termines, reinicia vuelve a analizar el ordenador con el antivirus, ahora ya no debería aparecer nada, pégame el reporte del mismo en caso contrario.
Bueno mira este es el reporter del antivirus :
Incidencia Estado Elemento
Herramienta potencialmente no deseada:application/mywebsearch No desinfectado hkey_classes_root\clsid\{9AFB8248-617F-460d-9366-D71CDEDA3179}
Herramienta potencialmente no deseada:application/myway No desinfectado HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}
Adware:Adware/DeluxeComunications No desinfectado C:\WINDOWS\system32\drivers\core.sys
Los 2 primeros ya los he quitado con el ejecutar regedit como me has indicado antes (por cierto esto es un rollo quito dos y salen otros 2 nuevos) pero el 3º
Adware:Adware/DeluxeComunications No desinfectado C:\WINDOWS\system32\drivers\core.sys me dice que está en uso aunque no tengo ninguna aplicación abierta y que no se puede eliminar ni con el FileAssassin ni a mano.
¿Qué hago lo dejo por imposible?
Siento ser tan pesada
Ah se me olvidaba como no acertaba a mandar el Viduku y el Words los he eliminado directamente y que sea lo Dios quiera porque empiezo a perder la paciencia con el trasto este
No, no lo dejes por imposible. Este será el asalto definitivo, después de esto no quedarán infecciones, en todo caso, algún residuo en el registro del sistema.
¿Qué le ocurre al ordenador para que empieces a perder la paciencia?
El core.sys es un rootkit asociado al Smitfraud, su función es ocultar procesos, archivos y entradas del registro. Por lo que si no se elimina, vamos a tener que eliminarlo de otra manera junto con lo que oculta.
Descarga estas dos cosas:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Ejecuta el primero y no toques la ventana hasta que no te salga "disclaimer of warranty on software", entonces pulsa el número 1 y luego Enter para confirmar.
Buscará infecciones y reiniciará el ordenador.
Cuando reinicie, verás que el programa se pondrá a generar un log, espera pacientemente hasta que te aparezca el log en pantalla.
Eso debería haber eliminado y movido el archivo core.sys al directorio QooBox que ha creado en C:, en C: también tienes el Combofix.txt y el ComboFix-quarantined-files.txt.
Sólo necesito que me pegues el log del Combofix.txt.
Ahora el SDfix, ejecúatlo y pulsa en Install.
Creará un direcotrio llamado SDfix en C:.
Ahora reinicia Windows en modo seguro, para reiniciar en modo seguro, reinicia el ordenador y después de oír el "beep" pulsa la tecla F8 repetidamente. Te aparecerá un menú, selecciona Modo seguro con funciones de red.
Estando en modo seguro ve a C:\SDfix y ejecuta el archivo RunThis.bat, luego pulsa la tecla Y después Enter para confirmar.
Analizará y eliminará archivos infectados. Luego te pedirá que pulses una tecla para reiniciar.
Una vez que reinicies normal se ejecutará el SDFix, espera hasta que ponga Finished, entonces ya puedes pulsar cualquier tecla para finalizar el programa.
En el directorio SDFix tienes que tener un archivo llamado Report.txt.
Pega el reporte del Combofix.txt y el Report.txt como respuesta a este mensaje.
Analiza el ordenador con el antivirus y pega el reporte.
Ya casi estamos.
ComboFix 07-07-30.2 - "Yoli" 2007-07-31 14:18:31.1 [GMT 2:00] - NTFS
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.3082.18.Verdadero
* Created a new restore point
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\Archivos de programa\Archivos comunes\{14F77~1
C:\WINDOWS\mantec~1
C:\WINDOWS\racle~1
C:\WINDOWS\system32\asembl~1
C:\WINDOWS\system32\drivers\core.cache.dsk
C:\WINDOWS\system32\drivers\core.sys
C:\WINDOWS\system32\smbols~1
C:\WINDOWS\system32\unsvchosts.lzma
C:\WINDOWS\system32\wintisv32.exe
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\LEGACY_COM+_MESSAGES
-------\LEGACY_CORE
-------\COM+ Messages
-------\core
((((((((((((((((((((((((( Files Created from 2007-06-28 to 2007-07-31 )))))))))))))))))))))))))))))))
2007-07-31 14:16 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-30 02:38 8,576 --a------ C:\WINDOWS\system32\drivers\ngmlponmhbji.sys
2007-07-29 22:38 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2007-07-29 03:21 592 --a------ C:\WINDOWS\chgkey.vbs
2007-07-28 20:05 <DIR> d-------- C:\DOCUME~1\Yoli\DATOSD~1\VersionTracker Pro
2007-07-25 03:08 <DIR> d-------- C:\DOCUME~1\Yoli\DATOSD~1\Lavasoft
2007-07-25 03:08 <DIR> d-------- C:\Archivos de programa\Lavasoft
2007-07-25 02:38 <DIR> d-------- C:\DOCUME~1\Yoli\DATOSD~1\CLOSE NURB
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-07-31 14:23 --------- d-------- C:\Archivos de programa\Google
2007-07-31 01:09 --------- d-------- C:\Archivos de programa\eMule
2007-07-30 13:21 52236 --a------ C:\WINDOWS\system32\perfc00A.dat
2007-07-30 13:21 365802 --a------ C:\WINDOWS\system32\perfh00A.dat
2007-06-26 21:52 --------- d--h----- C:\Archivos de programa\InstallShield Installation Information
2007-06-04 19:51 --------- d-------- C:\Archivos de programa\Archivos comunes\InstallShield
2007-05-16 17:12 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-01-16 19:55:43 1,056 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"NeroFilterCheck"="C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-08-22 02:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe" [2006-03-01 19:43]
"Viduku"="C:\Archivos de programa\Viduku\Viduku.exe" []
C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Inicio r pido de Adobe Reader.lnk - E:\Reader\reader_sl.exe [2005-09-23 23:05:26]
R3 ds1;Controlador de audio YAMAHA DS1 (WDM);C:\WINDOWS\system32\drivers\ds1wdm.sys
R3 gameenum;Puerto de juegos para Yamaha DS1;C:\WINDOWS\system32\drivers\gameenum.sys
S3 sscdbus;SAMSUNG USB Composite Device driver (WDM);C:\WINDOWS\system32\DRIVERS\sscdbus.sys
S3 sscdmdfl;SAMSUNG CDMA Modem Filter;C:\WINDOWS\system32\DRIVERS\sscdmdfl.sys
S3 sscdmdm;SAMSUNG CDMA Modem Drivers;C:\WINDOWS\system32\DRIVERS\sscdmdm.sys
S3 SunkFilt;Alcor Micro Corp Reader;\??\C:\WINDOWS\System32\Drivers\sunkfilt.sys
S3 USBCM;Scientific Atlanta USB Cable Modem Driver;C:\WINDOWS\system32\DRIVERS\Sacm2K.sys
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46e62b0b-48da-11db-9bb5-0011e66d39e7}]
AutoRun\command- G:\autorun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a7fbabe0-48cc-11db-9baf-00a0c5b363a7}]
AutoRun\command- H:\autorun.exe
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-31 14:24:21
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden registry entries ...
scanning hidden files ...
**************************************************************************
Completion time: 2007-07-31 14:27:02 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-31 14:26
--- E O F ---
Perfecto, ha detectado y eliminado todos los archivos, incluido el core.sys.
Ya sólo te falta usar el SDFix, reiniciar y analizar el ordenador con el antivirus. Me pegas el reporte y veremos si ya está todo.
SDFix: Version 1.94
Run by Yoli on 31/07/2007 at 15:37
Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service
Rebooting...
Normal Mode:
Checking Files:
No Trojan Files Found
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files:
---------------
Files with Hidden Attributes:
C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp
Finished
Ves porque pierdo la paciencia, quito uno y salen 5.Bueno este es el reporter del antivirus, aunque por lo que veo ahora tendré que eliminar los programas que he bajado para quitar lo que tenía.
Incidencia Estado Elemento
Herramienta potencialmente no deseada:application/myway No desinfectado HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D1-F8E0-41AD-92A3-14154ECE70AC}
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado C:\Documents and Settings\Yoli\Escritorio\ComboFix.exe[nircmd.exe]
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\Yoli\Escritorio\SDFix.exe[SDFix\apps\Process.exe]
Adware:Adware/DeluxeComunications No desinfectado C:\QooBox\Quarantine\catchme2007-07-31_142419.74.zip[core.sys]
Spyware:Cookie/Zedo No desinfectado C:\RECYCLER\S-1-5-21-73586283-1606980848-839522115-1004\Dc1.txt
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\SDFix\apps\Process.exe
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado C:\WINDOWS\nircmd.exe
Sí, ya puedes eliminar todos los programas y archivos que detecta el antivirus.
Lo que ha detectado el antivirus de nircmd (http://www.nirsoft.net/utils/nircmd.html), etc no es peligroso, es normal.
Elimina también el directorio QooBoox, SDFix y demás reportes.
Ya sólo queda un residuo en el registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D1-F8E0-41AD-92A3-14154ECE70AC}
Elimina la clave {0494D0D1-F8E0-41AD-92A3-14154ECE70AC} usando el regedit.
Después de eliminarla, reinicia y vuelve a analizar el sistema con el antivirus y dime si te sigue apareciendo esa entrada en el registro. Aunque ya está todo limpio y esa entrada no supone ni un problema ni una amenaza.
Vacía la papelera de reciclaje también.
Te recomiendo que para evitar lo que te ha ocurrido, no uses Internet Explorer a no ser que sea estrictamente necesario. Usa el navegador Mozilla Firefox y evitarás muchos problemas de esos en el futuro.
Por fin, asunto arreglado, al menos por el momento, muchísimas gracias Inkognitu te mereces las cinco estrellas y veinte más si las hubiera por el trabajo, interés y sobre todo la PACIENCIA que has tenido; cinco días aguantando mi ignorancia, tela.. pero al final la satisfacción del trabajo bien hecho.
Aunque no se hubiera arreglado del todo también te daría las cinco estrellas por lo anteriormente dicho.
Un saludo y otra vez muchas gracias

Añade tu respuesta

Haz clic para o

Más respuestas relacionadas