Avisos


Resultados 1 al 17 de 17

Tema: ¿Cómo elimino Cutwail t?

  1. #1 ¿Cómo elimino Cutwail t? 
    Medio
    Fecha de ingreso
    Nov 2007
    Ubicación
    Córdoba, España.
    Mensajes
    138
    Descargas
    8
    Uploads
    0
    Spycheck es el único programa que me lo encuentra (en el registro). Lo extraño, es que le doy a borrar y parece que lo ha borrado, pero no. A los 6 segundos vuelves a hacer la busqueda y te aparece de nuevo. No sé qué hacer... He intentado quitarlo a mano, pero me lo deniega. Según he leído por ahí, tiene algo que ver con winlogon.exe no? Además, en administrador de tareas aparece activo, pero no usa CPU. Lo mismo es una tontería lo del winlogon.exe, pero en mi portátil no aparece en administrador de tareas.
    Muchas gracias por vuestra atención.
    Un saludo
    Víctor
    Última edición por victor_2010; 08-05-2009 a las 21:32
    Piensa, piensa otra vez y hazlo.
    Citar  
     

  2. #2  
    Medio
    Fecha de ingreso
    Nov 2007
    Ubicación
    Córdoba, España.
    Mensajes
    138
    Descargas
    8
    Uploads
    0
    exactamente en:
    Key: HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\legacy_ip6fw
    Piensa, piensa otra vez y hazlo.
    Citar  
     

  3. #3  
    Moderadora HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Cordoba.Argentina.
    Mensajes
    1.009
    Descargas
    0
    Uploads
    0
    Hola victor..un poco tarde la respuesta pero quiza aun te sirva,lo que puede estar sucediendo que si el unico programa que te lo detecta es el Spycheck pueda ser un falso positivo.
    Haz una prueba fijate en los servicios activos si tenes el proceso attrib.exe,si es asi desactivalo ,eliminalo y ya luego probas en quitar la entrada que te indica el spycheck.

    Saludos
    Mimasol
    Citar  
     

  4. #4  
    Medio
    Fecha de ingreso
    Nov 2007
    Ubicación
    Córdoba, España.
    Mensajes
    138
    Descargas
    8
    Uploads
    0
    He borrado el archivo attrib.exe como habias comentado, pero no pasa nada. Spycheck sigue igual. Sigue apareciendo lo mismo en el programa.
    Piensa, piensa otra vez y hazlo.
    Citar  
     

  5. #5  
    Moderadora HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Cordoba.Argentina.
    Mensajes
    1.009
    Descargas
    0
    Uploads
    0
    Proba con este antivirus online a ver si te lo detecta y elimina.
    En lo posible trata de hacer el escaneo en modo prueba de fallos.Si no lo quita vamos a tener que sacarlo a mano..

    http://cainternetsecurity.net/entscanner/

    Saludos
    Mimasol
    Citar  
     

  6. #6  
    Medio
    Fecha de ingreso
    Nov 2007
    Ubicación
    Córdoba, España.
    Mensajes
    138
    Descargas
    8
    Uploads
    0
    Me ha encontrado 10 en riesgo medio: 6 Ares, 2 eMule, 1 Grokster y 1 KoolyNoody. Y uno en riesgo alto uTorrent. No veo la opción de eliminar, ¿que hago?
    Piensa, piensa otra vez y hazlo.
    Citar  
     

  7. #7  
    Medio
    Fecha de ingreso
    Nov 2007
    Ubicación
    Córdoba, España.
    Mensajes
    138
    Descargas
    8
    Uploads
    0
    Por cierto, ahora spycheck me ha detectado KoolyNoody y lo ha eliminado. Pero seguimos con lo mismo.
    Piensa, piensa otra vez y hazlo.
    Citar  
     

  8. #8  
    Moderadora HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Cordoba.Argentina.
    Mensajes
    1.009
    Descargas
    0
    Uploads
    0
    Oks vamos a ver si lo podemos eliminar a mano.

    Entramos al editor de registro "regedit" y buscamos esta entrada

    HKEY_CURRENT_USER\Software\Microso\Windows\Current Version\Them\LastTheme

    abri la carpeta "LastTheme" y borra esta entrada:

    Last = 0x00000000

    Ahora vas a abrir la entrada siguiente :

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root

    Abris la carpeta root y borras estas dos entradas :

    \LEGACY_IP6FW
    \LEGACY_RUNTIME


    Buscamos la siguiente cadena :

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

    click en la carpeta services y borras la subcarpeta \runtime

    Buscas esta otra cadena de nuevo.


    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
    \Root


    Y borras las siguientes subcarpetas:

    \LEGACY_IP6FW
    \LEGACY_RUNTIME

    Seguimos...

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services


    Eliminamos..de la carpeta services esta subcarpeta

    \runtime

    Reinicias la pc y escanea de nuevo.Esto hacelo a modo de prueba de fallos y se cuidadoso al borrar las entradas .
    Espero que con esto se pueda resolver.

    Saludos
    Mimasol.
    Citar  
     

  9. #9  
    Medio
    Fecha de ingreso
    Nov 2007
    Ubicación
    Córdoba, España.
    Mensajes
    138
    Descargas
    8
    Uploads
    0
    Hola, lo primero:
    HKEY_CURRENT_USER\Software\Microso\Windows\Current Version\Them\LastTheme
    No lo encuentro. No aparece vamos. Luego, en HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root debía borrar:
    \LEGACY_IP6FW
    \LEGACY_RUNTIME
    La primera aparece y me da error al borrarlo. La 2ª no me aparece
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services no me aparece
    \runtime
    En HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
    \Root
    \LEGACY_IP6FW <------me aparece pero no me deja borrarlo.
    \LEGACY_RUNTIME <------no aparece.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
    \Services

    \runtime <------tampoco aparece.
    PD: Todo esto lo hago en modo seguro.
    Piensa, piensa otra vez y hazlo.
    Citar  
     

  10. #10  
    Moderadora HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Cordoba.Argentina.
    Mensajes
    1.009
    Descargas
    0
    Uploads
    0
    Doy por sentado que lo has hecho a modo prueba de fallos y desactivando el servicio.
    A ver decime si tenes este archivo en esta ruta ..

    c:\windows\system32\drivers\ip6fw.sys


    Saludos
    Mimasol
    Citar  
     

  11. #11  
    Medio
    Fecha de ingreso
    Nov 2007
    Ubicación
    Córdoba, España.
    Mensajes
    138
    Descargas
    8
    Uploads
    0
    si lo tengo, que hago?
    Piensa, piensa otra vez y hazlo.
    Citar  
     

  12. #12  
    Moderadora HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Cordoba.Argentina.
    Mensajes
    1.009
    Descargas
    0
    Uploads
    0
    Ese archivo es el que reemplaza al verdadero driver que seria este IPv6 Windows Firewall Driver..pero al ver que no podes eliminarlo ya sigo en la duda que sea un falso positivo..

    Posteame el logo de hijackthis para ver mejor las entradas del registro.

    Escanea con spybot en modo de prueba de fallos lo actualizas al programa y luego te desconectas de internet ,e intenta eliminarlo.

    Espero tu respuesta ..

    Saludos
    Mimasol
    Citar  
     

  13. #13  
    Medio
    Fecha de ingreso
    Nov 2007
    Ubicación
    Córdoba, España.
    Mensajes
    138
    Descargas
    8
    Uploads
    0
    el log de hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:26:28, on 20/05/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16827)
    Boot mode: Safe mode with network support

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Archivos de programa\Mozilla Firefox\firefox.exe
    C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll
    O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\ARCHIV~1\mcafee\SITEAD~1\mcieplg.dll
    O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: reminder-Registro del producto ScanSoft.lnk.disabled
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
    O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
    O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

    --
    End of file - 3871 bytes
    Piensa, piensa otra vez y hazlo.
    Citar  
     

  14. #14  
    Moderadora HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Cordoba.Argentina.
    Mensajes
    1.009
    Descargas
    0
    Uploads
    0
    Tu log esta limpio ,tu equipo tiene algun comportamiento anormal? Para mi es un falso positivo ya que nungun antivirus te lo detecta ni el CA que es el que no falla.
    Vamos a probar con esto a ver si lo detecta y podemos eliminarlo sino ya queda el combofix pero eso ya seria la ultima alternativa.

    http://www.malwarebytes.org/mbam.php

    Saludos
    Mimasol
    Citar  
     

  15. #15  
    Medio
    Fecha de ingreso
    Nov 2007
    Ubicación
    Córdoba, España.
    Mensajes
    138
    Descargas
    8
    Uploads
    0
    no me ha encontrado nada
    Piensa, piensa otra vez y hazlo.
    Citar  
     

  16. #16  
    Moderadora HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Cordoba.Argentina.
    Mensajes
    1.009
    Descargas
    0
    Uploads
    0
    Entonces damos por hecho que es nomas una falsa alarma.Si sentis que tu equipo consume mas recursos que lo normal u algun comportamiento erratico entonces si vamos a probar con combofix,sin esas evidencias me parece que no tiene sentido .

    Saludos
    MImasol
    Citar  
     

  17. #17  
    Medio
    Fecha de ingreso
    Nov 2007
    Ubicación
    Córdoba, España.
    Mensajes
    138
    Descargas
    8
    Uploads
    0
    ok, muchas gracias mimasol
    Saludos
    Víctor.
    Piensa, piensa otra vez y hazlo.
    Citar  
     

Marcadores
Marcadores
Permisos de publicación
  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •