• Con el fin de ofrecerle una experiencia de navegación adaptada a sus necesidades le informamos de que esta web utiliza cookies. Puede deshabilitarlas en las opciones de su navegador web. Mas info Politica de Cookies Free data recovery software
 

Troyano en System32/....hosts

Y

yenised

New Member
Hola! Espero puedan ayudarme con mi problemon!!...:squigglemouth:

Tengo un Notebook Packard Bell, EasyNote Mx760+, Pentium Intel Dual Core T2080, 1.73 GHz, 2 GB, Disco duro de 80, Sistema Operativo Windows Vista Básico. Tengo instalado antivirus Avast!4.8 home edition (actualizado), y el Windows Defender trabajando, ademas he ejecutado el MSN Virus Remover 4.9.0.

Hace un par de semanas entro un virus desde msn (Se descargo desde esta dirección: //forsalecarscy.com/pictures/picture.phpnotebook pro?image-zketnqw.jpg, y se alojo en la carpeta C://Windows/System32/drivers/etc/hosts., el avast! lo identifica como troyano.

Los sintomas son: ventanas de error en color negro y con codigos en blanco avisando que hay un archivo que no fue encontrado, problemas con el messinger que al conectarse envia un mensaje a los contactos conectados con la pagina y se bloquea, se ha apagado en un par de ocaciones, lentitud en el sistema y problemas con la coneccion de internet, ademas de encontrar troyanos y gusanos en los escaneos de avast! lo que antes no sucedia.

Hasta ahora intente: Restaurar el sistema a un punto anterior, y he ejecutado W.Defender, antivirus y MSN Virus Remover, tambien desintale messinger y descargue otras versiones 8.5 y 9.0 y cambie la clave de acceso a messinger, pero al instalar las nuevas versiones volvio a tener el mismo error :crossedlips:

Avast, Msn Virus Remover y W.Defender indican que el virus fue eliminado, pero al reiniciar el equipo vuelve arrojar error y a encontrar el virus en la misma ubicacion.

Mi equipo trae la funcion Smart Restore instalada, pero no se si sera seguro ejecutarla teniendo el virus alojado en el sistema, creo que esta funcion podria fallar o generar otros problemas.

Desde ya Muchas Gracias!!
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:41, on 26-05-2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16830)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Powercinema\PCMService.exe
C:\Program Files\MyWebSearch\bar\2.bin\M3SRCHMN.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Windows\wt\updater\wcmdmgr.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\msnmssngr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\waterito\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

Packard Bell - Computers, Video, MP3 Players, Data Storage, GPS, Accessories, Online Music, Games, Software

country=COM&range=AD&phase=8&key=IESTART
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

Packard Bell - Computers, Video, MP3 Players, Data Storage, GPS, Accessories, Online Music, Games, Software

country=COM&range=AD&phase=8&key=IESTART
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.zoower.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} -

C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} -

C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7

-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common

Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program

Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
O2 - BHO: Iminent.SearchTheWeb.HelperObject - {0E896FCA-D07E-45FE-901F-

6A26FCF59C02} - mscoree.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -

c:\program files\google\googletoolbar2.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-

A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program

files\google\googletoolbar2.dll
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} -

C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows

Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio

Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google

Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [PCMService] "c:\Program Files\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard

Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1

\bar\2.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1

\MYWEBS~1\bar\2.bin\m3SrchMn.exe" /m=0
O4 - HKLM\..\Run: [Emurayden PSX Emulator] c:\Archivos de Programa\Emurayden

PSX Emulator v2.1\Emurayden PSX AutoLauncher.exe
O4 - HKLM\..\Run: [zzz_ImInstaller_IncrediMail]

"C:\Users\waterito\AppData\Local\Temp\ImInstaller\IncrediMail\incredimail_insta

llz.exe" -startup -product IncrediMail
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader

8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [wcmdmgr] C:\Windows\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [windowslogin] msnmssngr.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-

Static\CLIStart.exe
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common

Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol

120\axcmd.exe" /automount
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows

Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe

/detectMem (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe

oobefldr.dll,ShowWelcomeCenter (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe

/detectMem (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2

\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2

\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3

\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common

Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Search -

http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRfox000
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{5234B214-C43F-45E8-B1AA-4B1EB7BA5EC0}:

NameServer = 200.63.56.4 164.77.252.249
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program

Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common

Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program

Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. -

C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil

Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil

Software\Avast4\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown

owner - c:\Program Files\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner -

c:\Program Files\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown

owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file

missing)
O23 - Service: Administrador de Google Desktop 5.7.806.10245

(GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google

Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program

Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation

- C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com -

C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwssvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common

Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions -

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program

Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 9648 bytes
 
Elimina estas entradas:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} -
C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program
Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} -
C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1
\bar\2.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1
\MYWEBS~1\bar\2.bin\m3SrchMn.exe" /m=0
O8 - Extra context menu item: &Search -
http://edits.mywebsearch.com/toolbar...tml?p=ZRfox000
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com -
C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwssvc.exe

Descarga además estas aplicaciones, las instalas, las actualizas y las pasas si es posible en modo a prueba de fallos (F8). Elimina lo que encuentre y una vez que las pases vuelve a pegar el log de hijackthis y el de malwarebytes.

Malwarebytes.org

SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

CCleaner - Home
 
Desde ya agradezco mucho la ayuda!!....
Me gustaría aprender un poco, saber al menos que estoy borrando, que pasara en el sistema, para que se deben borrar esas entradas, etc.
Lo borro estando en HijackThis?...
 
Ejecutas hijackthis, marcas las entradas que te he puesto y luego le das a Fix checked. No tienes porque tener ningún problema si solamente marcas las que te he comentado. Saludos
 
Me gustaría aprender un poco, saber al menos que estoy borrando, que pasara en el sistema, para que se deben borrar esas entradas, etc.
 
En la pagina principal tienes un completo manual de Hijack This. Hijack This es una herramienta formidable, pero hay que conocer que es lo que hace, por eso insistimos en que pongais vuestros logs para que los analicemos.

Salu2
 
hola yenised lo que estas borrando son el adware Mywebsearch

entrada 02:
Los BHO son plug-ins que Pueden ser usados por spywares así como programas legítimos como Google Toolbar.

entrada 04:

Programas que se inician al cargar windows

entrada 023

Estas entradas corresponden a los "Servicios de Windows"


Agregando fijate si en agregar/quitar programas esta mywersearch

o en archivos de programas.

Salu2.
 
Gracias Newbyte por el aporte. Salu2
 
hola por favor, yo tengo un problema similar con un troyano en System32, quisiera que me ayudaran
 
EleMD dijo:
hola por favor, yo tengo un problema similar con un troyano en System32, quisiera que me ayudaran
Hacer clic para expandir...

Hola EleMD, podremos ayudarte. Pero necesitamos que nos facilites informacion. Lee este hilo y observa lo que pedimos.

Espero tus noticias. Salu2
 
You must log in or register to reply here.
Back
Arriba