| jesp33 |  |
|
2009-07-06 17:04 - Respuestas: 1 - Tema nº: 2604303
Windows XP Profesional .
Hola buen día a todos, gracias de antemano por la ayuda. tengo instalado el avg 8.0 y cada cierto tiempo me salta una advertencia de que estoy infectado con un virus llamado i-worm/generic.clj y ya he pasado el avg, también el dr. web cureit y nada que se quita el problema, pasé el ccleaner y tampoco... pasé el hijack this y este es el log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:52, on 2009-07-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
C:\Archivos de programa\eBoostr\EBstrSvc.exe
C:\Archivos de programa\Microsoft Firewall Client 2004\FwcAgent.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe
C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
C:\ARCHIV~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\USB Disk Security\USBGuard.exe
C:\ARCHIV~1\AVG\AVG8\avgtray.exe
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\Archivos de programa\Samsung\SmarThru\PORTCTRL.EXE
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\Ares\Ares.exe
C:\ARCHIV~1\MI3AA1~1\rapimgr.exe
C:\Archivos de programa\eBoostr\eBoostrCP.exe
C:\ARCHIV~1\MI05E6~1\OFFICE11\OUTLOOK.EXE
C:\Archivos de programa\internet explorer\iexplore.exe
C:\ARCHIV~1\MI05E6~1\Office12\EXCEL.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://srv01:8080/array.dll?Get.Routing.Script
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = srv01:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 66.73.166.145 bancolombia.com
O1 - Hosts: 69.73.166.145 www.bancolombia.com
O1 - Hosts: 69.73.166.145 grupobancolombia.com
O1 - Hosts: 69.73.166.145 www.grupobancolombia.com
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [USB Antivirus] C:\Archivos de programa\USB Disk Security\USBGuard.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GW Port Controller] C:\Archivos de programa\Samsung\SmarThru\PORTCTRL.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: eBoostr Control Panel.lnk = C:\Archivos de programa\eBoostr\eBoostrCP.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MI05E6~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MI05E6~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.systemrequirementslab.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6E8D1230-9D6E-11D5-99D2-00B0D092E5E3} (pry_LeeRegistro.clsEstacion) - https://www2.bolivariano.com/banca_corporativa/ActiveX/descargar/dll/sse_lee_registro_win.CAB
O16 - DPF: {C1C03C1E-8F9B-4671-8F9C-C101E872E362} (browser.logoff) - https://facturacion.pichincha.com/seguro/distrib/browser.CAB
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = alertamedica.com
O17 - HKLM\Software\..\Telephony: DomainName = alertamedica.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{8489458A-B598-4E58-9F5E-762190A40DD0}: NameServer = 192.168.1.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = alertamedica.com
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
O23 - Service: eBoostr Service (EBOOSTRSVC) - Unknown owner - C:\Archivos de programa\eBoostr\EBstrSvc.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
End of file - 7860 bytes
Por favor ayúdenme a quitar este bicho de mi compu y cómo protegerme para que no vuelva a pasar...
gracias!!!
| |
|
|
| swissman |  |
|
Re: Ayuda por favor i-worm generic - 2009-07-07 14:57 - Respuesta 2
cierra todos los programas, navegador incluido, ejecuta hijackthis pulsando do a system scan only y marcas las siguientes entradas:
todas las O1
O4 - Startup: PowerReg Scheduler.exe
O16 - DPF: {6E8D1230-9D6E-11D5-99D2-00B0D092E5E3} (pry_LeeRegistro.clsEstacion) - https://www2.bolivariano.com/banca_corporativa/ActiveX/descargar/dll/sse_lee_reg istro_win.CAB
si la siguiente la conoces la dejas, si no sabes que es, tambien la marcas
O16 - DPF: {C1C03C1E-8F9B-4671-8F9C-C101E872E362} (browser.logoff) - https://facturacion.pichincha.com/seguro/distrib/browser.CAB
pulsa fix checked, reinicia tu pc en modo seguro con conexiones de red y pasa algún antivirus actualizado on-line
descarga y actualiza los siguientes programas y los vas pasando uno a uno, un par de veces cada uno:
Malwarebytes' Anti-Malware 1.3
Spyware Doctor 6
Regcleaner
Spybot
cwshredder.exe
ad-aware
SUPERAntiSpyware
Ccleaner (limpiar temporales y registro)
reinicias en modo normal y pegas el log de nuevo | |
|
|
|
