PDA

Ver la versión completa : ¿Cómo elimino Cutwail t?



victor_2010
08-05-2009, 22:19
Spycheck es el único programa que me lo encuentra (en el registro). Lo extraño, es que le doy a borrar y parece que lo ha borrado, pero no. A los 6 segundos vuelves a hacer la busqueda y te aparece de nuevo. No sé qué hacer... He intentado quitarlo a mano, pero me lo deniega. Según he leído por ahí, tiene algo que ver con winlogon.exe no? Además, en administrador de tareas aparece activo, pero no usa CPU. Lo mismo es una tontería lo del winlogon.exe, pero en mi portátil no aparece en administrador de tareas.
Muchas gracias por vuestra atención.
Un saludo ;)
Víctor

victor_2010
08-05-2009, 22:56
exactamente en:
Key: HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_ip6fw

mimasol
12-05-2009, 23:09
Hola victor..un poco tarde la respuesta pero quiza aun te sirva,lo que puede estar sucediendo que si el unico programa que te lo detecta es el Spycheck pueda ser un falso positivo.
Haz una prueba fijate en los servicios activos si tenes el proceso attrib.exe,si es asi desactivalo ,eliminalo y ya luego probas en quitar la entrada que te indica el spycheck.

Saludos
Mimasol

victor_2010
15-05-2009, 16:49
He borrado el archivo attrib.exe como habias comentado, pero no pasa nada. Spycheck sigue igual. Sigue apareciendo lo mismo en el programa.

mimasol
15-05-2009, 17:19
Proba con este antivirus online a ver si te lo detecta y elimina.
En lo posible trata de hacer el escaneo en modo prueba de fallos.Si no lo quita vamos a tener que sacarlo a mano..

http://cainternetsecurity.net/entscanner/

Saludos
Mimasol

victor_2010
15-05-2009, 21:20
Me ha encontrado 10 en riesgo medio: 6 Ares, 2 eMule, 1 Grokster y 1 KoolyNoody. Y uno en riesgo alto uTorrent. No veo la opción de eliminar, ¿que hago?

victor_2010
15-05-2009, 21:29
Por cierto, ahora spycheck me ha detectado KoolyNoody y lo ha eliminado. Pero seguimos con lo mismo.

mimasol
18-05-2009, 20:08
Oks vamos a ver si lo podemos eliminar a mano.

Entramos al editor de registro "regedit" y buscamos esta entrada

HKEY_CURRENT_USER\Software\Microso\Windows\Current Version\Them\LastTheme

abri la carpeta "LastTheme" y borra esta entrada:

Last = 0x00000000

Ahora vas a abrir la entrada siguiente :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root

Abris la carpeta root y borras estas dos entradas :

\LEGACY_IP6FW
\LEGACY_RUNTIME

Buscamos la siguiente cadena :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

click en la carpeta services y borras la subcarpeta \runtime

Buscas esta otra cadena de nuevo.


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root

Y borras las siguientes subcarpetas:

\LEGACY_IP6FW
\LEGACY_RUNTIME

Seguimos...

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services

Eliminamos..de la carpeta services esta subcarpeta

\runtime

Reinicias la pc y escanea de nuevo.Esto hacelo a modo de prueba de fallos y se cuidadoso al borrar las entradas .
Espero que con esto se pueda resolver.

Saludos
Mimasol.

victor_2010
19-05-2009, 01:08
Hola, lo primero:
HKEY_CURRENT_USER\Software\Microso\Windows\Current Version\Them\LastTheme
No lo encuentro. No aparece vamos. Luego, en HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root debía borrar:
\LEGACY_IP6FW
\LEGACY_RUNTIME
La primera aparece y me da error al borrarlo. La 2ª no me aparece :confused:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services no me aparece
\runtime
En HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
\Root
\LEGACY_IP6FW <------me aparece pero no me deja borrarlo.
\LEGACY_RUNTIME <------no aparece.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services

\runtime <------tampoco aparece.
PD: Todo esto lo hago en modo seguro.

mimasol
19-05-2009, 01:13
Doy por sentado que lo has hecho a modo prueba de fallos y desactivando el servicio.
A ver decime si tenes este archivo en esta ruta ..

c:\windows\system32\drivers\ip6fw.sys


Saludos
Mimasol

victor_2010
19-05-2009, 01:15
si lo tengo, que hago?

mimasol
19-05-2009, 01:36
Ese archivo es el que reemplaza al verdadero driver que seria este IPv6 Windows Firewall Driver..pero al ver que no podes eliminarlo ya sigo en la duda que sea un falso positivo..

Posteame el logo de hijackthis para ver mejor las entradas del registro.

Escanea con spybot en modo de prueba de fallos lo actualizas al programa y luego te desconectas de internet ,e intenta eliminarlo.

Espero tu respuesta ..

Saludos
Mimasol

victor_2010
20-05-2009, 22:28
el log de hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:26:28, on 20/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: reminder-Registro del producto ScanSoft.lnk.disabled
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

--
End of file - 3871 bytes

mimasol
20-05-2009, 23:04
Tu log esta limpio ,tu equipo tiene algun comportamiento anormal? Para mi es un falso positivo ya que nungun antivirus te lo detecta ni el CA que es el que no falla.
Vamos a probar con esto a ver si lo detecta y podemos eliminarlo sino ya queda el combofix pero eso ya seria la ultima alternativa.

http://www.malwarebytes.org/mbam.php

Saludos
Mimasol

victor_2010
21-05-2009, 00:00
no me ha encontrado nada

mimasol
21-05-2009, 00:03
Entonces damos por hecho que es nomas una falsa alarma.Si sentis que tu equipo consume mas recursos que lo normal u algun comportamiento erratico entonces si vamos a probar con combofix,sin esas evidencias me parece que no tiene sentido .

Saludos
MImasol

victor_2010
21-05-2009, 00:04
ok, muchas gracias mimasol
Saludos ;)
Víctor.