15-06-2004, 17:46
¿Alguien me podria ayudar con un troyano que no consigo eliminar? su nombre es este:
TR/Dldr.winsh.AC.05 y lo tengo en este archivo Sybva.dll , le eliminado con el antivirus pero vuelve a parecer y lo que creo que hace es cambiarme todo el rato la pag. de inicio de IE y su sistemea de busqueda.
gracias y un saludo.
Usa el adaware o el Spybot.
TseTse
He usado todo ad-aware, spybot s&d , norton 2004, panda on line y el antivir y nada de nada cada vez q cambio la pagina de inicio , voy al registro y borro todo lo relacionado con Sybva.dll me vuelve a parecer.Iniciado por TseTse
Hago eso y se me abre la pagina de inicio que yo he puesto , pero en cuanto cierro la ventana vuelve a aparecer esto la siguiente vez q abro el ie :
res://sybva.dll/index.html si le doy a propiedades en la pag me sale esto:
res://C:\WINDOWS\System32\shdoclc.dll/dnserror.htm#res://sybva.dll/index.html
Me estoy volviendo loco y no consigo nada, he probado a borrar tanto el shdoclc.dll como el sybva.dll y nada.
No se os ocurre q puedo hacer, porq me veo formateando.
Gracias y un saludo.
Bajate esta aplicación http://www.spychecker.com/program/hijackthis.html
La incias pulsas en scan, luego en save log (te lo creará en el mismo directorio donde está el hijackthis) y el log lo pegas aquí.
También sería interesante que pusieras el log de config-> misc tools-> (marcas las 2 perimeras casillas) y pulas en generate sstartuplist log.
TseTse
HOla, a mi me pasa lo mismo, aca el log y el startup, por favor ayuda!!!!!!!!!!!!!!!!!!!!
Logfile of HijackThis v1.97.7
Scan saved at 03:35:45 a.m., on 25/06/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\PFShared\UmxCfg.exe
C:\Archivos de programa\Archivos comunes\PFShared\UmxPol.exe
C:\Archivos de programa\Tiny Personal Firewall\UmxAgent.exe
C:\Archivos de programa\Tiny Personal Firewall\UmxTray.exe
C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\Archivos comunes\PFShared\umxlu.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe
C:\Registry Clean Expert\RCScheduler.exe
C:\Archivos de programa\Arescom\NDS1060USB ADSL Adapter\dslmon.exe
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\WINNT\system32\iekr32.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fviyv.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mail.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://fviyv.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fviyv.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://fviyv.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\fviyv.dll/sp.html#96676
O2 - BHO: (no name) - {8958AFF7-B844-9938-F43B-C0566D008759} - C:\WINNT\system32\ipmm.dll
O2 - BHO: (no name) - {F96F826F-6181-26EA-F324-005AB86EDA45} - C:\WINNT\system32\apper32.dll
O4 - HKLM\..\Run: [AVG_CC] C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iekr32.exe] C:\WINNT\system32\iekr32.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [AMonitor] C:\Archivos de programa\Tiny Personal Firewall\amon.exe
O4 - HKCU\..\Run: [RegClean Expert Scheduler] "C:\Registry Clean Expert\RCScheduler.exe" /startup
O4 - HKLM\..\RunOnce: [d3tv.exe] C:\WINNT\system32\d3tv.exe
O4 - HKLM\..\RunOnce: [winuu.exe] C:\WINNT\system32\winuu.exe
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\Arescom\NDS1060USB ADSL Adapter\dslmon.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{727F3B74-9DBB-4281-8503-67BC7903D258}: NameServer = 200.51.254.238 200.51.209.22
StartupList report, 25/06/2004, 03:37:16 a.m.
StartupList version: 1.52
Started from : C:\Documents and
Settings\Administrador\Escritorio\HijackThis.EXE
Detected: Windows 2000 SP4 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\PFShared\UmxCfg.exe
C:\Archivos de programa\Archivos comunes\PFShared\UmxPol.exe
C:\Archivos de programa\Tiny Personal Firewall\UmxAgent.exe
C:\Archivos de programa\Tiny Personal Firewall\UmxTray.exe
C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\Archivos comunes\PFShared\umxlu.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe
C:\Registry Clean Expert\RCScheduler.exe
C:\Archivos de programa\Arescom\NDS1060USB ADSL Adapter\dslmon.exe
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\WINNT\system32\iekr32.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Startup:
[C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio]
*No files*
Shell folders AltStartup:
*Folder not found*
User shell folders Startup:
*Folder not found*
User shell folders AltStartup:
*Folder not found*
Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]
DSLMON.lnk = C:\Archivos de programa\Arescom\NDS1060USB ADSL
Adapter\dslmon.exe
Shell folders Common AltStartup:
*Folder not found*
User shell folders Common Startup:
*Folder not found*
User shell folders Alternate Common Startup:
*Folder not found*
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,
[HKLM\Software\Microsoft\Windows\CurrentVersion\Win logon]
*Registry key not found*
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
*Registry value not found*
[HKCU\Software\Microsoft\Windows\CurrentVersion\Win logon]
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AVG_CC = C:\ARCHIV~1\Grisoft\AVG6\avgcc32.exe /STARTUP
AVGCtrl = C:\Archivos de programa\AVPersonal\AVGNT.EXE /min
iekr32.exe = C:\WINNT\system32\iekr32.exe
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
d3tv.exe = C:\WINNT\system32\d3tv.exe
winuu.exe = C:\WINNT\system32\winuu.exe
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run OnceEx
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Spyware Doctor = "C:\Archivos de programa\Spyware Doctor\spydoctor.exe"
/Q
AMonitor = C:\Archivos de programa\Tiny Personal Firewall\amon.exe
RegClean Expert Scheduler = "C:\Registry Clean Expert\RCScheduler.exe"
/startup
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run OnceEx
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[OptionalComponents]
*No values found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run OnceEx
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run OnceEx
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .COM:
HKEY_CLASSES_ROOT\comfile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .BAT:
HKEY_CLASSES_ROOT\batfile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .PIF:
HKEY_CLASSES_ROOT\piffile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command
(Default) = "%1" /S
--------------------------------------------------
File association entry for .HTA:
HKEY_CLASSES_ROOT\htafile\shell\open\command
(Default) = C:\WINNT\System32\mshta.exe "%1" %*
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = "C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigIE
[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
StubPath = "C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigOE
[{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection
C:\WINNT\INF\mplayer2.inf,PerUserStub.NT
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE
/CALLER:WINNT /user /install
[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection
C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.N T
[{5945c046-1e7d-11d1-bc44-00c04fd912be}]
StubPath = rundll32.exe advpack.dll,LaunchINFSection
%SystemRoot%\INF\msmsgs.inf,BLC.Remove.PerUser
[{6A5110B5-E14B-4268-A065-EF89FF33C325}] *
StubPath = regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7
true" initpki.dll
[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB
/CALLER:WINNT /user /install
[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\System32\ie4uinit.exe
[{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}] *
StubPath = %SystemRoot%\System32\updcrl.exe -e -u
%SystemRoot%\System32\verisignpub1.crl
--------------------------------------------------
Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps
*Registry key not found*
--------------------------------------------------
Load/Run keys from C:\WINNT\WIN.INI:
load=*INI section not found*
run=*INI section not found*
Load/Run keys from Registry:
HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not
found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not
found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not
found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not
found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not
found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=*Registry value
not found*
--------------------------------------------------
Shell & screensaver key from C:\WINNT\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Checking for EXPLORER.EXE instances:
C:\WINNT\Explorer.exe: PRESENT!
C:\Explorer.exe: not present
C:\WINNT\Explorer\Explorer.exe: not present
C:\WINNT\System\Explorer.exe: not present
C:\WINNT\System32\Explorer.exe: not present
C:\WINNT\Command\Explorer.exe: not present
C:\WINNT\Fonts\Explorer.exe: not present
--------------------------------------------------
Checking for superhidden extensions:
.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden
--------------------------------------------------
Verifying REGEDIT.EXE integrity:
- Regedit.exe found in C:\WINNT
- .reg open command is normal (regedit.exe %1)
- Regedit.exe has no CompanyName property! It is either missing or named
something else.
- Regedit.exe has no OriginalFilename property! It is either missing or
named something else.
- Regedit.exe has no FileDescription property! It is either missing or
named something else.
Registry check failed!
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - C:\WINNT\system32\ipmm.dll -
{8958AFF7-B844-9938-F43B-C0566D008759}
(no name) - C:\WINNT\system32\apper32.dll -
{F96F826F-6181-26EA-F324-005AB86EDA45}
--------------------------------------------------
Enumerating Task Scheduler jobs:
*No jobs found*
--------------------------------------------------
Enumerating Download Program Files:
[Microsoft XML Parser for Java]
CODEBASE = file://C:\WINNT\Java\classes\xmldso.cab
OSD = C:\WINNT\Downloaded Program Files\Microsoft XML Parser for Java.osd
[Java Plug-in 1.4.2_04]
InProcServer32 = C:\Archivos de
programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
CODEBASE =
http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
[Java Plug-in 1.4.2_04]
InProcServer32 = C:\Archivos de
programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
CODEBASE =
http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
[Shockwave Flash Object]
InProcServer32 = C:\WINNT\system32\macromed\flash\Flash.ocx
CODEBASE =
http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
--------------------------------------------------
Enumerating Winsock LSP files:
NameSpace #1: C:\WINNT\System32\rnr20.dll
NameSpace #2: C:\WINNT\System32\winrnr.dll
Protocol #1: C:\WINNT\system32\msafd.dll
Protocol #2: C:\WINNT\system32\msafd.dll
Protocol #3: C:\WINNT\system32\msafd.dll
Protocol #4: C:\WINNT\system32\msafd.dll
Protocol #5: C:\WINNT\system32\rsvpsp.dll
Protocol #6: C:\WINNT\system32\rsvpsp.dll
Protocol #7: C:\WINNT\system32\msafd.dll
Protocol #8: C:\WINNT\system32\msafd.dll
Protocol #9: C:\WINNT\system32\msafd.dll
Protocol #10: C:\WINNT\system32\msafd.dll
Protocol #11: C:\WINNT\system32\msafd.dll
Protocol #12: C:\WINNT\system32\msafd.dll
Protocol #13: C:\WINNT\system32\msafd.dll
Protocol #14: C:\WINNT\system32\msafd.dll
Protocol #15: C:\WINNT\system32\msafd.dll
Protocol #16: C:\WINNT\system32\msafd.dll
--------------------------------------------------
Enumerating Windows NT/2000/XP services
General Purpose USB Driver (adildr.sys): System32\Drivers\adildr.sys
(autostart)
USB ADSL LAN Adapter: System32\DRIVERS\adiusbae.sys (manual start)
USB ADSL WAN Adapter: system32\DRIVERS\adiusbaw.sys (manual start)
Entorno de compatibilidad de funciones de red AFD:
\SystemRoot\System32\drivers\afd.sys (autostart)
Servicio de alerta: %SystemRoot%\System32\services.exe (manual start)
AntiVir Service: C:\Archivos de programa\AVPersonal\AVGUARD.EXE
(autostart)
Controlador de batería Microsoft APM heredada:
System32\DRIVERS\apmbatt.sys (manual start)
Administración de aplicaciones: %SystemRoot%\system32\services.exe
(manual start)
Controlador de medios asíncronos de RAS: System32\DRIVERS\asyncmac.sys
(manual start)
Controlador estándar IDE/ESDI de disco duro: System32\DRIVERS\atapi.sys
(system)
Protocolo cliente ATM ARP: System32\DRIVERS\atmarpc.sys (manual start)
Controlador auxiliar de audio: System32\DRIVERS\audstub.sys (manual
start)
AVG6 Kernel: \??\C:\ARCHIV~1\Grisoft\AVG6\avgcore.sys (autostart)
AVG6 Rezident Driver: \??\C:\ARCHIV~1\Grisoft\AVG6\avgfsh.sys (manual
start)
avgntdd: \??\C:\Archivos de programa\AVPersonal\AVGNTDD.SYS (manual
start)
AVG6 Service: C:\ARCHIV~1\Grisoft\AVG6\avgserv.exe (autostart)
AntiVir Update: C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
(autostart)
Servicio de transferencia inteligente en segundo plano:
%SystemRoot%\System32\svchost.exe -k BITSgroup (manual start)
Examinador de equipos: %SystemRoot%\System32\services.exe (autostart)
Closed Caption Decoder: system32\DRIVERS\CCDECODE.sys (manual start)
Controlador de CD-ROM: System32\DRIVERS\cdrom.sys (system)
Servicio de Index Server: C:\WINNT\System32\cisvc.exe (manual start)
Portafolios: %SystemRoot%\system32\clipsrv.exe (manual start)
Controlador de la batería compuesta de Microsoft:
System32\DRIVERS\compbatt.sys (system)
Controlador UART Crystal WDM MPU-401: system32\drivers\cwbmidi.sys
(manual start)
Controlador de códec de audio Crystal WDM: system32\drivers\cwbwdm.sys
(manual start)
Cliente DHCP: %SystemRoot%\System32\services.exe (autostart)
Controlador de disco: System32\DRIVERS\disk.sys (system)
Servicio del administrador de discos lógicos:
%SystemRoot%\System32\dmadmin.exe /com (manual start)
dmboot: System32\drivers\dmboot.sys (disabled)
Controlador del administrador de discos lógicos:
System32\drivers\dmio.sys (system)
dmload: System32\drivers\dmload.sys (system)
Administrador de discos lógicos: %SystemRoot%\System32\services.exe
(autostart)
Sintetizador SW Microsoft DirectMusic (WDM): system32\drivers\DMusic.sys
(manual start)
Cliente DNS: %SystemRoot%\System32\services.exe (autostart)
3Com Megahertz LAN PC Card Driver: System32\DRIVERS\el589nd5.sys (manual
start)
Registro de sucesos: %SystemRoot%\system32\services.exe (autostart)
Sistema de sucesos de COM+: C:\WINNT\System32\svchost.exe -k netsvcs
(manual start)
Servicio de fax: %systemroot%\system32\faxsvc.exe (manual start)
Controlador de la unidad de disquete: System32\DRIVERS\fdc.sys (manual
start)
Controlador de disquete: System32\DRIVERS\flpydisk.sys (manual start)
Controlador del administrador de volumen: System32\DRIVERS\ftdisk.sys
(system)
Game Port Enumerator: System32\DRIVERS\gameenum.sys (manual start)
Clasificador de paquetes genéricos: System32\DRIVERS\msgpc.sys (manual
start)
Teclado i8042 y controlador de puerto de mouse PS/2:
System32\DRIVERS\i8042prt.sys (system)
IntelIde: System32\DRIVERS\intelide.sys (system)
Controlador de filtro de tráfico IP: System32\DRIVERS\ipfltdrv.sys
(manual start)
Controlador de túnel IP en IP: System32\DRIVERS\ipinip.sys (manual start)
Traductor de direcciones de red IP: System32\DRIVERS\ipnat.sys (manual
start)
Controlador IPSEC: System32\DRIVERS\ipsec.sys (manual start)
Protocolo IrDA: System32\DRIVERS\irda.sys (autostart)
IR Enumerator Service: System32\DRIVERS\irenum.sys (manual start)
Monitor de infrarrojos: %SystemRoot%\System32\svchost.exe -k netsvcs
(autostart)
Controlador de bus PnP ISA/EISA: System32\DRIVERS\isapnp.sys (system)
Controlador de clase de teclado: System32\DRIVERS\kbdclass.sys (system)
Mezclador de audio de onda Microsoft Kernel: system32\drivers\kmixer.sys
(manual start)
KmxAgent: System32\DRIVERS\kmxagent.sys (system)
KmxBiG: System32\DRIVERS\KmxBiG.sys (autostart)
KmxCfg: System32\DRIVERS\kmxcfg.sys (manual start)
KmxFile: System32\DRIVERS\KmxFile.sys (system)
KmxFw: System32\DRIVERS\kmxfw.sys (system)
KmxIds: System32\DRIVERS\kmxids.sys (system)
KmxNdis: System32\DRIVERS\kmxndis.sys (system)
KmxSbx: System32\DRIVERS\KmxSbx.sys (autostart)
Servidor: %SystemRoot%\System32\services.exe (autostart)
Estación de trabajo: %SystemRoot%\System32\services.exe (autostart)
Servicio de ayuda TCP/IP NetBIOS: %SystemRoot%\System32\services.exe
(autostart)
Mensajero: %SystemRoot%\System32\services.exe (autostart)
Escritorio remoto compartido de NetMeeting: C:\WINNT\System32\mnmsrvc.exe
(manual start)
Controlador de clase de mouse: System32\DRIVERS\mouclass.sys (system)
BDA MPE Filter: system32\DRIVERS\MPE.sys (manual start)
MRXSMB: System32\DRIVERS\mrxsmb.sys (system)
Coordinador de transacciones distribuidas de Microsoft:
C:\WINNT\System32\msdtc.exe (manual start)
Microsoft IR Communications Driver: System32\DRIVERS\MSIRCOMM.sys (manual
start)
Windows Installer: C:\WINNT\System32\MsiExec.exe /V (manual start)
Proxy de servicio de transferencia de Microsoft:
system32\drivers\MSKSSRV.sys (manual start)
Proxy del reloj de transferencia de Microsoft:
system32\drivers\MSPCLOCK.sys (manual start)
Proxy del administrador de calidad de transferencia de Microsoft:
system32\drivers\MSPQM.sys (manual start)
Convertidor de derivador/consumidor a consumidor de transmisión por
secuencias de Microsoft: system32\drivers\MSTEE.sys (manual start)
NABTS/FEC VBI Codec: system32\DRIVERS\NABTSFEC.sys (manual start)
Controlador TAPI de acceso remoto NDIS: System32\DRIVERS\ndistapi.sys
(manual start)
Protocolo E/S en modo de usuario NDIS: system32\DRIVERS\ndisuio.sys
(manual start)
Controlador WAN de acceso remoto NDIS: System32\DRIVERS\ndiswan.sys
(manual start)
neo20xx: System32\DRIVERS\neo20xx.sys (manual start)
Interfaz de NetBIOS: System32\DRIVERS\netbios.sys (system)
NetBios a través de Tcpip: System32\DRIVERS\netbt.sys (system)
DDE de red: %SystemRoot%\system32\netdde.exe (manual start)
DSDM de DDE de red: %SystemRoot%\system32\netdde.exe (manual start)
NetDetect: \SystemRoot\system32\drivers\netdtect.sys (manual start)
Inicio de sesión en red: %SystemRoot%\System32\lsass.exe (manual start)
Conexiones de red: %SystemRoot%\System32\svchost.exe -k netsvcs (manual
start)
Controladora de dispositivo de infrarrojos NSC:
System32\DRIVERS\nscirda.sys (manual start)
Controlador de interfaz Apm/Legacy de Windows NT:
System32\DRIVERS\NtApm.sys (manual start)
Proveedor de asistencia de seguridad LM de Windows NT:
%SystemRoot%\System32\lsass.exe (manual start)
Medios de almacenamiento extraíbles: %SystemRoot%\System32\svchost.exe -k
netsvcs (autostart)
Controlador de filtro de tráfico IPX: System32\DRIVERS\nwlnkflt.sys
(manual start)
Controlador retransmisor de tráfico IPX: System32\DRIVERS\nwlnkfwd.sys
(manual start)
Controlador de clase paralelo: System32\DRIVERS\parallel.sys (manual
start)
Controlador de puerto paralelo: System32\DRIVERS\parport.sys (system)
Controlador de bus PCI: System32\DRIVERS\pci.sys (system)
Pcmcia: System32\DRIVERS\pcmcia.sys (system)
Plug and Play: %SystemRoot%\system32\services.exe (autostart)
Agente de directivas IPSEC: %SystemRoot%\System32\lsass.exe (autostart)
Minipuerto WAN (PPTP): System32\DRIVERS\raspptp.sys (manual start)
Almacenamiento protegido: %SystemRoot%\system32\services.exe (autostart)
Controlador de vínculo paralelo directo: System32\DRIVERS\ptilink.sys
(manual start)
Controlador de conexión automática de acceso remoto:
System32\DRIVERS\rasacd.sys (system)
Administrador de conexión automática de acceso remoto:
%SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Minipuerto WAN (Módem IrDA): System32\DRIVERS\rasirda.sys (manual start)
Minipuerto WAN (L2TP): System32\DRIVERS\rasl2tp.sys (manual start)
Administrador de conexión de acceso remoto:
%SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Paralelo directo: System32\DRIVERS\raspti.sys (manual start)
Acceso a canales originales de red de transmisión de Microsoft:
system32\drivers\RCA.sys (manual start)
Rdbss: System32\DRIVERS\rdbss.sys (system)
Controlador de filtro de reproducción de CD de sonido digital:
System32\DRIVERS\redbook.sys (system)
Enrutamiento y acceso remoto: %SystemRoot%\System32\svchost.exe -k
netsvcs (disabled)
Servicio de Registro remoto: %SystemRoot%\system32\regsvc.exe (autostart)
WAN Miniport (PPP over Ethernet Protocol): System32\DRIVERS\RMSPPPOE.SYS
(manual start)
Localizador de llamadas a procedimiento remoto (RPC):
%SystemRoot%\System32\locator.exe (manual start)
Llamada a procedimiento remoto(RPC): %SystemRoot%\system32\svchost -k
rpcss (autostart)
QoS RSVP: %SystemRoot%\System32\rsvp.exe -s (manual start)
Administrador de cuentas de seguridad: %SystemRoot%\system32\lsass.exe
(autostart)
Sistema de ayuda de tarjeta inteligente:
%SystemRoot%\System32\SCardSvr.exe (manual start)
Tarjeta inteligente: %SystemRoot%\System32\SCardSvr.exe (manual start)
Programador de tareas: %SystemRoot%\system32\MSTask.exe (autostart)
Servicio RunAs: %SystemRoot%\system32\services.exe (autostart)
Notificación de sucesos del sistema: %SystemRoot%\system32\svchost.exe -k
netsvcs (autostart)
Controlador de filtro Serenum: System32\DRIVERS\serenum.sys (manual
start)
Controlador de puerto serie: System32\DRIVERS\serial.sys (system)
Conexión compartida a Internet: %SystemRoot%\System32\svchost.exe -k
netsvcs (autostart)
BDA Slip De-Framer: system32\DRIVERS\SLIP.sys (manual start)
Cola de impresión: %SystemRoot%\system32\spoolsv.exe (autostart)
Srv: System32\DRIVERS\srv.sys (manual start)
BDA IPSink: system32\DRIVERS\StreamIP.sys (manual start)
Controlador del bus de software: System32\DRIVERS\swenum.sys (manual
start)
Sintetizador de tabla de onda Microsoft Kernel GS:
system32\drivers\swmidi.sys (manual start)
SYMIDSCO: \??\C:\WINNT\System32\Drivers\SYMIDSCO.SYS (manual start)
Dispositivo de sonido del sistema de Microsoft:
system32\drivers\sysaudio.sys (manual start)
Registros y alertas de rendimiento: %SystemRoot%\system32\smlogsvc.exe
(manual start)
Telefonía: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Controlador de protocolo TCP/IP: System32\DRIVERS\tcpip.sys (system)
Telnet: %SystemRoot%\system32\tlntsvr.exe (manual start)
Cliente de seguimiento de vinculos distribuidos:
%SystemRoot%\system32\services.exe (autostart)
Controlador de la controladora de host universal USB de Microsoft:
System32\DRIVERS\uhcd.sys (manual start)
FW Event Manager: C:\Archivos de programa\Tiny Personal
Firewall\UmxAgent.exe (autostart)
FW Configuration Interpreter: C:\Archivos de programa\Archivos
comunes\PFShared\UmxCfg.exe (autostart)
FW Live Update: C:\Archivos de programa\Archivos
comunes\PFShared\umxlu.exe (autostart)
FW Policy Manager: C:\Archivos de programa\Archivos
comunes\PFShared\UmxPol.exe (autostart)
Dispositivo de actualización Microcode: System32\DRIVERS\update.sys
(manual start)
Sistema de alimentación ininterrumpida: %SystemRoot%\System32\ups.exe
(manual start)
Controlador de concentrador estándar USB de Microsoft:
System32\DRIVERS\usbhub.sys (manual start)
Administrador de utilidades: %SystemRoot%\System32\UtilMan.exe (manual
start)
VgaSave: \SystemRoot\System32\drivers\vga.sys (system)
Horario de Windows: %SystemRoot%\System32\services.exe (manual start)
Controlador ARP de Acceso remoto IP : System32\DRIVERS\wanarp.sys (manual
start)
Controlador de compatibilidad de audio Microsoft WINMM WDM:
system32\drivers\wdmaud.sys (manual start)
Instrumental de administración de Windows:
%SystemRoot%\System32\WBEM\WinMgmt.exe (autostart)
Exten. controlador Instrumental de admon. de Windows:
%SystemRoot%\system32\Services.exe (manual start)
iVasion PoET Adapter: System32\DRIVERS\WrKPoETNic2000.sys (manual start)
World Standard Teletext Codec: system32\DRIVERS\WSTCODEC.SYS (manual
start)
Actualizaciones automáticas: %systemroot%\system32\svchost.exe -k wugroup
(autostart)
Configuración inalámbrica: %SystemRoot%\System32\svchost.exe -k netsvcs
(manual start)
Network Security Service: C:\WINNT\sysiw.exe /s (autostart)
--------------------------------------------------
Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*
Windows NT checkdisk command:
BootExecute = autocheck autochk *
Windows NT 'Wininit.ini':
PendingFileRenameOperations: *Registry value not found*
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll
--------------------------------------------------
End of report, 29.566 bytes
Report generated in 9,894 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of
platform
/history - to list version history only
Abre el hijackthis, haz el scan y marca esto:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fviyv.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://fviyv.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fviyv.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://fviyv.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\fviyv.dll/sp.html#96676
O2 - BHO: (no name) - {8958AFF7-B844-9938-F43B-C0566D008759} - C:\WINNT\system32\ipmm.dll
O2 - BHO: (no name) - {F96F826F-6181-26EA-F324-005AB86EDA45} - C:\WINNT\system32\apper32.dll
O4 - HKLM\..\Run: [iekr32.exe] C:\WINNT\system32\iekr32.exe
O4 - HKLM\..\RunOnce: [d3tv.exe] C:\WINNT\system32\d3tv.exe
O4 - HKLM\..\RunOnce: [winuu.exe] C:\WINNT\system32\winuu.exe
Y dale a fix checked, la ocontestas que Si a la pregunta y ya está.
Por otra parte deberias configurar tu Windows para que te muestre las extensiones de archivo conocidas, si te mando un virus cuyo nombre sea nombre.txt.shs tú sólo verás nombre.txt (sin la extension shs).
TseTse
Gracias Tze Tze, pero te cuento que cuando reinicie me aparecio un nuevo troyano llamado Downloader AgentZ.2
Escuchaste de este?
Y como se configura el windows para mostrar todas las extensiones de los archivos?
Mil gracias de nuevo
Arriba Hackhispano!!!!
04-06-2005, 19:44
porfa ayudenme esk me aparece esto y no me lo soluciona con nada Y ME E METIO EN CALETA DE FOROS PERO NO SE Q ACER: c:\WINNT\system32\MSTask.exe
Hola.
Te recomiendo que instales Firefox y dejes de usar iExplorer.
En http://www.vsantivirus.com/searchaid.htm están las instrucciones para eliminar ese troyano.
Saludos.
¿Cuál es exactamente tu problema contreras?
UTA SAIS K TENGO DE ANTIVIRUS EL BITDEFENDER_8 Y CACHAI K LA WEA NO ME ENCUENTRA TANTAS WEAS POR SI SOLO...OSEA tengo k scanear on-line o aveces scanear con el bitdefender manualmentey entre esos virus (o troyanos o toas esas weas) tengo un .exe q se me abre y q SE Q ES UN VIRUS.
uta mira porfa si podis agregame al msn [email protected]
08-06-2005, 02:17
UTA SAIS K TENGO DE ANTIVIRUS EL BITDEFENDER_8 Y CACHAI K LA WEA NO ME ENCUENTRA TANTAS WEAS POR SI SOLO...OSEA tengo k scanear on-line o aveces scanear con el bitdefender manualmentey entre esos virus (o troyanos o toas esas weas) tengo un .exe q se me abre y q SE Q ES UN VIRUS.
uta mira porfa si podis agregame al msn [email protected]
O LOS Q SE DEN LAS GANAS PA AYUDARME PORFA AGREGUENME AL MSN!!
Marcadores