• Con el fin de ofrecerle una experiencia de navegación adaptada a sus necesidades le informamos de que esta web utiliza cookies. Puede deshabilitarlas en las opciones de su navegador web. Mas info Politica de Cookies Free data recovery software
 

Log de Hijack

D

ddd333lll

Member
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:13:59, on 15/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: &Teclado virtual - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Compro&bar direcciones URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1248523549608
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)
 
HOla ddd333lll, bienvenido al foro de informatica de la web.

Ese log no tiene problemas relevantes ( algun file missing y poco mas )

¿Cual es el problema que tienes en el Pc? Navegacion lenta, se abren ventanas... porque ese log esta limpio de malware.

Nos cuentas. Salu2
 
El kaspersky me detecta el siguiente virus:

Protección Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus E:\System Volume Information\_restore{D29D8A3E-2EB3-4C46-974C-3A322C9A07AE}\RP3\A0006383.exe

Lo he probado todo y no me lo da borrado, he probado las opciones de bajarme el malwarebite, descargar el cleaner y todo lo demás.... Ya venía el ordenador de un entorno ostil con mucho malware y otros, pero había conseguido eliminarlos todos menos este.
 
El proceso hay que hacerlo cuidadosamente, hazlo asi:

1.- Baja CCleaner y Malwarebyte´s
2.- Desactiva "Restaurar Sistema" y reinicia en "Modo Seguro"
3.- Ejecuta CCleaner
4.- Ejecuta Malwarebyte´s
5.- Vuelve a pasar CCleaner
6.- Vuelve a ejecutar Kaspersky.

Salu2
 
Hola a tod@s.

Con permiso:

Protección Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus E:\System Volume Information\_restore{D29D8A3E-2EB3-4C46-974C-3A322C9A07AE}\RP3\A0006383.exe
Hacer clic para expandir...

Como ves, la infección que te detecta se encuentra en un punto de restauración del sistema, por lo tanto con desactivar "Restaurar sistema", pasándole el Ccleaner, reiniciando y volviendo a activar "Restaurar sistema" debería bastar. Como bien te indica razor, pásale de nuevo el Kaspersky online, pero esta vez pega el log completo. El análisis con Malwarebytes nunca está de mas, si lo haces, péganos el log también.

Nos comentas, saludos!!!
 
No ha cambiado nada. Sigue con el Heur: trojan.win32.generic. Le he pasado los dos programas siguiendo los pasos y no ha funcionado.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\WINDOWS\system32\rundll32.exe" "C:\Archivos de programa\NOS\bin\getPlus_Helper.dll",Uninstall /Get1noarp
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: &Teclado virtual - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Compro&bar direcciones URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1248523549608
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)
 
No sólo lo detecta en el registro. Lo curioso es que busco los archivos para borrarlos pero no los encuentro.


Protección Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus C:\Documents and Settings\..............\Mis documentos\My Completed Downloads\Official-eMule_setup.exe

Protección Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus C:\Documents and Settings\................\Mis documentos\My Completed Downloads\Official-eMule_setup.exe

Protección Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus C:\System Volume Information\_restore{D29D8A3E-2EB3-4C46-974C-3A322C9A07AE}\RP3\A0006354.exe

Protección Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus C:\System Volume Information\_restore{D29D8A3E-2EB3-4C46-974C-3A322C9A07AE}\RP3\A0006354.exe

Protección Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus
E:\eMule\Uninstall.exe

Protección Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus E:\eMule\Uninstall.exe

Protección Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus E:\System Volume Information\_restore{D29D8A3E-2EB3-4C46-974C-3A322C9A07AE}\RP3\A0006374.exe

Protección Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus E:\System Volume Information\_restore{D29D8A3E-2EB3-4C46-974C-3A322C9A07AE}\RP3\A0006374.exe

Protección Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus E:\System Volume Information\_restore{D29D8A3E-2EB3-4C46-974C-3A322C9A07AE}\RP3\A0006383.exe

Protección Detectados: HEUR:Trojan.Win32.Generic Kaspersky Anti-Virus E:\System Volume Information\_restore{D29D8A3E-2EB3-4C46-974C-3A322C9A07AE}\RP3\A0006383.exe
 
Hola de nuevo.

.- Desactiva "Restaurar sistema"
.- Reinicia en Modo a prueba de fallos
.- Ejecuta Malwarebytes Antimalware, ve a la pestaña "Mas Herramientas" y ejecuta la herramienta FILEASSASSIN tal y como se ve en el manual para eliminar los archivos que a continuación te indico en rojo: (manual)

C:\Documents and Settings\..............\Mis documentos\My Completed Downloads\Official-eMule_setup.exe
E:\eMule\Uninstall.exe

.- Reinicia en modo normal
.- Pasa Ccleaner, tanto en modo limpiador, para limpiar temporales y demás basura, como en modo registro
.- Realiza un nuevo análisis con kaspersky online, examen completo, péganos el log, pero pégalo entero, incluido el encabezado

Nos comentas, saludos!!!
 
Intenté lo que dices, pero los archivos que detecta el kaspersky con el virus heur: trojan win 32 generic, no se encuentran donde deberían.

Están en cuarentena en el kaspersky, en unos archivos que luego no se encuentran al explorar el PC. Intentaré buscar alguna herramienta del kaspersky para borrarlos.
 
Tienes activado "Mostrar archivos ocultos del sistema" ¿?
 
Hola a tod@s.

Pues si dices que están en la cuarentena de Kaspersky es que el antivirus está haciendo bien su trabajo.

Las infecciones detectadas en la carpetas "C:\System Volume Information\_restore...." y "E:\System Volume Information\_restore....", con desactivar "Restaurar sistema" en todas las unidades deberían desaparecer.

Si no lo has hecho antes, desactiva "Restaurar sistema", vacía la cuarentena del antivirus, reinicia, pasa Ccleaner, vuelve a activar "Restaurar sistema". Realiza un análisis esta vez con Active scan 2.0 para ver si hay algo mas en tu PC (si es necesario desactiva temporalmente la protección residente de tu antivirus), péganos el informe generado (al completo). Coméntanos si presentas alguna anomalía en el funcionamiento de tu máquina.

Esperamos respuesta, saludos!!!
 
No es por eso. Ni con ver archivos ocultos se ven los archivos donde dice el kaspersky que está el heur: trojan win32 generic.
 
Ya eliminé el virus. Desconecté restaurar sistema, luego me fuí a la carpeta de cuarentena del Kaspersky y eliminé de la lista todos los archivos del Heur trojan win32 generic. Después le pasé el Ccleaner. Reinicié el equipo y hasta hoy no volvió a detectar el virus.

También eliminé adware que dectectó el active scan 2.0..

Parece que he conseguido eliminar todos los bichos que tenía el pc y eso que tenía una barbaridad. Aún así me mosquea la linea 23 del hijak log que es de panda. El caso es que ya no tengo panda y he borrado todos los archivos, pero sigue apareciendo la línea. Y por qué pone unknown owner.

Ahí dejo el informe active scan 2.0 e el hijak log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:37, on 26/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: &Teclado virtual - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Compro&bar direcciones URL - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1248523549608
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

--
;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-09-24 10:25:02
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Kaspersky Anti-Virus 9.0.0.463 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00018331 adware/gator Adware No 0 Yes Yes HKEY_LOCAL_MACHINE\software\classes\CLSID\{21FFB6C0-0DA1-11D5-A9D5-00500413153C}
00018331 adware/gator Adware No 0 Yes Yes hkey_classes_root\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
 
You must log in or register to reply here.
Back
Arriba