Problema grave Adware

**Psychaospath** · #1 21 de enero 2008, 20:16

Tengo un grave problema. Ive tiene algún tipo de adware en mi computadora. Cuando Im que el surf, o simplemente mi navegador abierto, una ventana emergente aparecerá cada 2-3 minutos. He intentado utilizar AVG Anti-Virus, Anti-Spyware de AVG, CounterSpy y Bazooka Scanner.

Todos ellos encontraron toneladas de cosas, i se deshizo de todos ellos, i escaneada de nuevo, todo ha ido. A excepción de unos cuantos TrackingCookies, pero que no deben contribuir al problema de adware. Estos son suppost a los mejores programas.

Alguna sugerencia para lo que necesito para usar o lo que debería hacer?

**evilfantasy** · #2 21 de enero 2008, 20:34

Permite tener una mirada más de cerca.

Ver y cambiar el nombre de HijackThis (HJT)

Haga doble clic en HJTInstall.
Haga clic en el Instale botón.
Se coloca automáticamente en HJT C: \ Archivos de programa \ TrendMicro \ HijackThis \ HijackThis.exe.
Al instalar, debe HijackThis abierto para ti.
- Cerrar HijackThis y cambiarle el nombre.
- Ir a C: \ Archivos de programa \ Trend Micro \HijackThis.exe
- Haga clic derecho en HijackThis.exe y seleccione Renombrar.
- Tipo de sniper.exe y oprima Introduzca.
- Haga clic con el botón encendido sniper.exe y seleccione Enviar a > Escritorio (crear acceso directo)
Desde el escritorio abierto HiajckThis.
Si utiliza Windows Vista, asegúrese de Ejecutar como administrador
Haga clic en el Hacer un sistema de exploración y guardar un archivo de registro botón
HijackThis escaneará y luego se abrirá un registro en el Bloc de notas.
Copie y pegue el registro en su puesto.
- No han HijackThis arreglar nada. La mayor parte de lo que se considera inofensivo, o incluso necesario.

A pesar de que han cambiado de nombre a HijackThis francotirador, que aún se refieren a ella como HijackThis o HJT.

**Psychaospath** · #3 21 de enero 2008, 20:50

'Log' de Trend Micro HijackThis V2.0.2
Escanear guardado en 10:50:07 PM, en 1/21/2008
Plataforma: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Modo de arranque: Normal
Procesos que se están ejecutando:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Archivos de programa \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ Explorer.EXE
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ WINDOWS \ SOUNDMAN.EXE
C: \ Archivos de programa \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe
C: \ Archivos de programa \ iTunes \ iTunesHelper.exe
C: \ Archivos de programa \ SlySoft \ CloneCD \ CloneCDTray.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Archivos de programa \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Archivos de programa \ DAEMON Tools \ daemon.exe
C: \ Archivos de programa \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ Archivos de programa \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
C: \ Archivos de programa \ Archivos comunes \ Apple \ Dispositivo móvil Support \ bin \ AppleMobileDeviceService.exe
C: \ Archivos de programa \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
C: \ Archivos de programa \ iPod \ bin \ iPodService.exe
C: \ Archivos de programa \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Archivos de programa \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Archivos de programa \ Internet Explorer \ iexplore.exe
C: \ Archivos de programa \ Trend Micro \ HijackThis \ sniper.exe
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = http://us.rd.yahoo.com/customize/ie/...ch/search.html
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch =
R3 - URLSearchHook: Yahoo! Barra de Herramientas - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Compañía \ instala \ CPN \ yt.dll
O2 - BHO: & Yahoo! Barra de Herramientas de Ayuda - (02478D38-C3F9-4efb-9B51-7695ECA05670) - C: \ PROGRA ~ 1 \ Yahoo! \ Compañía \ instala \ CPN \ yt.dll
O2 - BHO: Yahoo! IE Botón Servicios - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Archivos de programa \ Yahoo! \ Common \ yiesrvc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Archivos de programa \ Java \ jre1.6.0_03 \ bin \ ssv.dll (archivo de desaparecidos)
O3 - Toolbar: Yahoo! Barra de Herramientas - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Compañía \ instala \ CPN \ yt.dll
O4 - HKLM \ .. \ Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM \ .. \ Run: [ATICCC] "C: \ Archivos de programa \ ATI Technologies \ ATI.ACE \ cli.exe" tiempo de retardo
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Archivos de programa \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [CloneCDTray] "C: \ Archivos de programa \ SlySoft \ CloneCD \ CloneCDTray.exe" / s
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / INICIO
O4 - HKLM \ .. \ Run: [! AVG Anti-Spyware] "C: \ Archivos de programa \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" / minimizado
O4 - HKLM \ .. \ Run: [LXCFCATS] rundll32 C: \ WINDOWS \ System32 \ Spool \ Drivers \ W32X86 \ 3 \ LXCFtim e.dll, _RunDLLEntry @ 16
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [DAEMON Tools] "C: \ Archivos de programa \ DAEMON Tools \ daemon.exe"-lang 1033
O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ Archivos de programa \ Yahoo! \ Messenger \ YahooMessenger.exe" silencioso
O4 - HKCU \ .. \ Run: [SUPERAntiSpyware] C: \ Archivos de programa \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (Usuario 'SERVICIO LOCAL')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (Usuario 'Servicio de red')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (usuario "sistema")
O4 - HKUS \. DEFAULT \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (El usuario predeterminada de usuario ')
O4 - Mundial de inicio: Utilidad de configuración inalámbrica HW.15.lnk = C: \ Archivos de programa \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
O9 - Extra botón: Yahoo! Servicios - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Archivos de programa \ Yahoo! \ Common \ yiesrvc.dll
O9 - Extra botón: ShopperReports - Compare los precios de los productos - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Archivos de programa \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (archivo de desaparecidos)
O9 - Extra botón: ShopperReports - Compare las tasas de viaje - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Archivos de programa \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (archivo de desaparecidos)
O9 - Extra botón: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Archivos de programa \ Messenger \ msmsgs.exe
O9 - Extra "Herramientas" menuitem: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Archivos de programa \ Messenger \ msmsgs.exe
O16 - DPF: (05D44720-58E3-49E6-BDF6-D00330E511D3) (StagingUI Objeto) -- http://zone.msn.com/binFrameWork/v10...I.cab55579.cab
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (instalación de Apoyo) - C: \ Archivos de programa \ Yahoo! \ Common \ Yinsthelper.dll
O16 - DPF: (39B0684F-D7BF-4743-B050-FDC3F48F7E3B) -- http://www.fileplanet.com/fpdlmgr/ca..._2.3.6.108.cab
O16 - DPF: (3BB54395-5982-4788-8AF4-B5388FFDD0D8) (MSN Juegos - Buddy Invitación) -- http://zone.msn.com/BinFrameWork/v10...y.cab55579.cab
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (5736C456-EA94-4AAC-BB08-917ABDD035B3) (ZonePAChat Objeto) -- http://zone.msn.com/binframework/v10...t.cab55579.cab
O16 - DPF: (67A5F8DC-1A4B-4D66-9F24-A704AD929EEE) (Requisitos del sistema Lab) -- http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: (9BDF4724-10AA-43D5-BD15-AEA0D2287303) (MSN Juegos - Texas Holdem Poker) -- http://zone.msn.com/bingame/zpagames...e.cab60231.cab
O16 - DPF: (B8BE5E93-A60C-4D26-A2DC-220313175592) (MSN Juegos - Installer) -- http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: (DA2AA6CF-5C7A-4B71-BC3B-C771BB369937) (MSN Juegos - Juego Communicator) -- http://zone.msn.com/binframework/v10...y.cab55579.cab
O20 - Winlogon Notificar:! SASWinLogon - C: \ Archivos de programa \ SUPERAntiSpyware \ SASWINLO.dll
O23 - Servicio: Ad-Aware 2007 Service (aawservice) - Lavasoft - C: \ Archivos de programa \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
O23 - Servicio: Apple dispositivos móviles - Apple, Inc. - C: \ Archivos de programa \ Archivos comunes \ Apple \ Dispositivo móvil Support \ bin \ AppleMobileDeviceService.exe
O23 - Servicio: Ati de HotKey Poller - ATI Technologies Inc. - C: \ WINDOWS \ system32 \ Ati2evxx.exe
O23 - Servicio: ATI Smart - Desconocido propietario - C: \ WINDOWS \ system32 \ ati2sgag.exe
O23 - Servicio: AVG Anti-Spyware Guard - GRISOFT sro - C: \ Archivos de programa \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
O23 - Servicio: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Servicio: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Servicio: AVG E-mail Scanner (AVGEMS) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 - Servicio: InstallDriver Cuadro Manager (IDriverT) - Macrovision Corporation - C: \ Archivos de programa \ Archivos comunes \ InstallShield \ Driver \ 1150 \ Intel 32 \ IDriverT.exe
O23 - Servicio: Servicio del iPod - Apple Inc. - C: \ Archivos de programa \ iPod \ bin \ iPodService.exe
O23 - Servicio: lxcf_device - - C: \ WINDOWS \ system32 \ lxcfcoms.exe
--
Fin de archivo - 7993 octetos

**evilfantasy** · #4 21 de enero 2008, 20:59

Que no revelan mucho, tendremos que hacer algo más profundo análisis.

Algunas entradas de vacío para fijar con HJT rápido.

Abrir y seleccione HijackThis Hacer un sistema de exploración sólo.

Coloque una marca de verificación junto a las entradas siguientes:

O9 - Extra botón: ShopperReports - Compare los precios de los productos - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Archivos de programa \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (archivo de desaparecidos)
O9 - Extra botón: ShopperReports - Compare las tasas de viaje - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Archivos de programa \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (archivo de desaparecidos)

Cierre todas las ventanas a excepción de HijackThis y haga clic en Fijar comprobado.

Salir HijackThis.

---------

Descargar CCleaner

Se sugiere a descargar el CCleaner - Slim -- N Barra de Herramientas que es la versión sin los servidores de Yahoo! Barra de herramientas.

Haga doble clic en el archivo ccsetup.exe para iniciar la instalación del programa.
Seleccione su idioma y haga clic en Aceptar, Entonces siguiente.
Lea el contrato de licencia y haga clic en Estoy de acuerdo.
Haga clic en siguiente utilizar la ubicación de instalación predeterminada.
En virtud de opciones de instalación, seleccione todos los valores predeterminados
Haga clic en Instale entonces terminar para completar la instalación.
Haga doble clic en el CCleaner acceso directo en el escritorio para iniciar el programa.
En el "Windows" ficha, en "Internet Explorer", desmarque "cookies" si no quieres que suprimirse. (En caso de eliminarse, lo más probable es que necesita volver a introducir sus contraseñas en todos los sitios donde se utiliza una cookie para reconocer cuando usted visita).
Si utiliza cualquiera de los navegadores Firefox o Mozilla, para desmarcar la casilla de "cookies" se encuentra en la ficha Aplicaciones, en Firefox / Mozilla.
Haga clic en "Opciones", icono en la parte izquierda de la ventana, a continuación, haga clic en "Opciones avanzadas".
deseleccionar "Sólo borrar archivos en las carpetas Temp de Windows tenga más de 48 horas."
Haga clic en el "limpiador" icono de la parte izquierda de la ventana, haga clic en Ejecutar Limpiador para ejecutar el programa.
Precaución: Sólo utilizar el "Registro" función si están muy familiarizados con el registro ya que se ha conocido para encontrar artículos legítimos.
Siempre copia de seguridad de su registro antes de de hacer cualquier cambio.
Después de CCleaner ha completado su proceso, haga clic en Salir.

----------

Descargar SUPERAntiSpyware Free Edition (SAS)

Haga doble clic en el icono de su escritorio para ejecutar el instalador.
Cuando se le preguntó a Actualizar el programa de las definiciones, haga clic en Sí
Haga clic en el siguiente Preferencias botón.
Haga clic en el Control de la exploración ficha.
Debajo de Opciones de escáner asegúrese de que sólo se comprueban los siguientes:
- Cerrar navegadores antes de escanear
- Escanear en busca de las cookies de seguimiento
- Finaliza en cuarentena las amenazas antes de la memoria
- Por favor, deje el resto sin marcar.
- Haga clic en el botón Cerrar para salir del centro de control de pantalla.
Haga clic en el Cerrar botón para salir del centro de control de pantalla.
En la pantalla principal, haga clic Explore su equipo
A la izquierda de verificación C: \ unidad fija
Sobre el derecho elegir Realizar exploración completa
Haga clic en Siguiente para iniciar la exploración. Por favor, sea paciente mientras se explora el equipo.
Después de la exploración es un resumen completo de la casilla aparecerá. Haga clic en Aceptar
Asegúrese de que todo en el cuadro blanco tiene una marca de verificación junto a él, a continuación, haga clic Siguiente
Se lo encuentra en cuarentena y si se le pregunta si desea reiniciar el sistema, haga clic en Sí
Para recuperar la supresión de información, por favor haga lo siguiente:
- Tras el arranque, haga doble clic en el icono de SUPERAntiSpyware en su escritorio.
- Haga clic en Preferencias. Haga clic en el Estadísticas / Registros ficha.
- En virtud de Registros escáner, haga doble clic en SUPERAntiSpyware exploración Registro.
- Se abrirá por defecto en tu editor de texto (como el Bloc de notas / Wordpad).
- Guardar archivo en el bloc de notas haciendo clic en su escritorio (en el Bloc de notas) Archivo > Guardar como...
Guardar el registro en alguna parte se puede encontrar. (normalmente el escritorio)
Haga clic en Cerrar y cierre de nuevo para salir del programa.
Por favor, copie y pegue el registro en su puesto.

----------

Siguiente después añada
SUPERAntiSpyware registro

**Psychaospath** · #5 21 de enero 2008, 22:20

i bien finalmente tengo hacer, pero .... emergentes siguen aquí, de todos modos Heres el registro:

SUPERAntiSpyware exploración Registrarse
http://www.superantispyware.com

De creación 01/22/2008 en 00:10 AM

Versión de las aplicaciones: 3/9/1008

Reglas básicas de base de datos Versión: 3385
Trace Reglas Database Versión: 1379

Tipo de exploración: exploración completa
Tiempo total de exploración: 00:48:33

Elementos de memoria escaneados: 556
Memoria amenazas detectadas: 0
Registro artículos escaneados: 4213
Registro de las amenazas detectadas: 0
Archivo de artículos escaneados: 39567
Archivo amenazas detectadas: 8

Adware.Tracking Cookie
C: \ Documents and Settings \ Richard \ Cookies \ richard@login.revenueloop [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@publishers.clickb ooth [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ dobleclick richard @ [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@ads.pointroll [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ bluestreak [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ tribalfusion richard @ [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ atdmt [2]. Txt

RootKit.TnCore / Trace
C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk

**evilfantasy** · #6 21 de enero 2008, 22:23

Esta exploración se llevará alrededor de 5 a 10 minutos.

Por favor, descargue por Combofix SUBS de uno de los enlaces a continuación.
(Pruebe los tres si es necesario)

IMPORTANTE - Combofix.exe DEBE se guardarán en su su Escritorio.

Cerrar todos los navegadores Web. (Firefox, Internet Explorer, etc)
Cerrar / desactivar todos los anti-virus y anti malware programas de manera que no interfiera con Combofix. <- IMPORTANTE
- Haga clic en este enlace para ver una lista de programas que deben deshabilitarse. Si el suyo no está en la lista y usted no sabe cómo desactivar, por favor preguntar.
Haga doble clic en combofix.exe y sigue las instrucciones.
- Seleccionar desde el teclado 1 y oprima Introduzca
Cuando haya terminado, se elaborará un registro para usted.
Puesto que entrar en su próxima respuesta.

No mouseclick combofix la ventana cuando está corriendo.
La exploración de manera temporal, inhabilitaremos su escritorio.
Si se interrumpe el equipo puede dejar congelados.
Si esto ocurre, por favor, reinicie para restaurar el escritorio.

Siguiente post
Combofix registro

**Psychaospath** · #7 21 de enero 2008, 22:48

bien lo hizo. ar, pero todavía tengo los pop-ups :-( Heres el registro:

ComboFix 08-01-21.3 - Richard 2008-01-22 0:30:28.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.628 [GMT -5:00]
A partir de: C: \ Documents and Settings \ Richard \ Escritorio \ ComboFix.exe
* Creado un nuevo punto de restauración
Esta máquina-ADVERTENCIA NO TIENE LA RECUPERACIÓN DE CONSOLA INSTALADA!
.
Otros ((((((((((((((((((((((((((((((((((((((( Supresiones ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ temp \ TN3
C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk. . . . no para eliminar
.
Archivos de ((((((((((((((((((((((((( Creado 2007-12-22 al 2008-01-22 ))))))))))) ))))))))))))))))))))
.
2008-01-22 00:36. 2008-01-22 00:36 167,545 --------- C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk
2008-01-22 00:34. 2008-01-22 00:34 <DIR> d -------- C: \ Temp \ TN3
2008-01-22 00:29. 2000-08-31 08:00 51.200 - un ------ C: \ WINDOWS \ Nircmd.exe
2008-01-21 23:10. 2008-01-21 23:10 <DIR> d -------- C: \ Archivos de programa \ CCleaner
2008-01-21 22:47. 2008-01-21 22:47 <DIR> d -------- C: \ Archivos de programa \ Trend Micro
2008-01-21 22:21. 2008-01-22 00:16 <DIR> d -------- C: \ Archivos de programa \ SUPERAntiSpyware
2008-01-21 02:10. 2008-01-21 02:10 <DIR> d -------- C: \ Archivos de programa \ Lavasoft
2008-01-21 02:09. 2008-01-21 22:20 <DIR> d -------- C: \ Archivos de programa \ Archivos comunes \ Sabio asistente de instalación
2008-01-20 22:04. 2008-01-20 22:04 <DIR> d -------- C: \ Archivos de programa \ Bazooka escáner
2008-01-20 17:41. 2007-05-30 07:10 10.872 - un ------ C: \ WINDOWS \ system32 \ drivers \ AvgAsCln.sys
2008-01-20 16:39. 2008-01-20 16:39 86.144 - un ------ C: \ WINDOWS \ system32 \ drivers \ ALCXWDMM.sys
2008-01-12 16:25. 2008-01-12 16:25 <DIR> d -------- C: \ Archivos de programa \ Electronic Arts
2008-01-12 15:11. 2005-06-24 16:24 438.272-ra ------ C: \ WINDOWS \ system32 \ vp6vfw.dll
2008-01-12 15:11. 2004-12-10 09:06 327.680 - un ------ C: \ WINDOWS \ system32 \ vp6dec.ax
2008-01-12 15:06. 2008-01-12 15:20 <DIR> d - h ----- C: \ WINDOWS \ MSDOWNLD.TMP
2008-01-10 19:21. 2008-01-10 19:21 <DIR> d -------- C: \ Archivos de programa \ uTorrent
2008-01-10 19:01. 2008-01-10 19:21 <DIR> d -------- C: \ Archivos de programa \ megamaps
2008-01-08 22:43. 2008-01-10 19:30 <DIR> d -------- C: \ Archivos de programa \ Guitar Pro 5
2008-01-06 05:19. 2008-01-06 05:19 <DIR> d -------- C: \ Archivos de programa \ Ficha Potencia de Software
2008-01-03 22:31. 2008-01-03 22:31 <DIR> d -------- C: \ AeriaGames
2008-01-03 21:30. 2008-01-12 21:55 <DIR> d -------- C: \ UnrealTournament
2007-12-25 14:25. 2007-12-28 16:53 90 - a ------ C: \ WINDOWS \ RCAMPEG4VC.ini
2007-12-25 14:18. 2006-09-13 14:52 561.152 - un ------ C: \ WINDOWS \ system32 \ xvidcore.dll
2007-12-25 14:18. 2006-09-13 15:01 237.568 - un ------ C: \ WINDOWS \ system32 \ xvidvfw.dll
2007-12-25 14:18. 2005-12-30 15:34 2.864 - un ------ C: \ WINDOWS \ system32 \ xvid.inf
2007-12-25 14:17. 2007-12-25 14:17 <DIR> d -------- C: \ Archivos de programa \ RCA
.
(((((((((((((((((((((((((((((((((((((((( Find3M Informe )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-20 20:59 --------- d - h - w C: \ Archivos de programa \ InstallShield Información de la instalación
2008-01-17 00:48 --------- d ----- w C: \ Archivos de programa \ Yahoo!
2008-01-16 01:15 --------- d ----- w C: \ Archivos de programa \ Lx_cats
2008-01-11 00:21 --------- d ----- w C: \ Archivos de programa \ Xfire
2008-01-11 00:21 --------- d ----- w C: \ Archivos de programa \ LimeWire
2007-12-22 10:47 --------- d ----- w C: \ Archivos de programa \ DriftCity
2007-12-20 07:35 --------- d ----- w C: \ Archivos de programa \ Sierra On-Line
2007-12-18 08:02 --------- d ----- w C: \ Archivos de programa \ NHN EE.UU.
2007-12-17 21:17 --------- d ----- w C: \ Archivos de programa \ Bethesda Softworks
2007-12-05 04:14 --------- d ----- w C: \ Archivos de programa \ SlySoft
2007-12-03 03:06 --------- d ----- w C: \ Archivos de programa \ TGTSoft
2007-11-25 18:18 --------- d ----- w C: \ Archivos de programa \ Archivos comunes \ Sonic compartidas
2007-11-22 05:03 --------- d ----- w C: \ Archivos de programa \ Cliprex DVD Player Professional
.
Reg. ((((((((((((((((((((((((((((((((((((( Cargando Puntos )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Nota * entradas vacías y las entradas son de fiar por defecto no se muestra
REGEDIT4
[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curré ntVersion \ Run]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 07:00 15360]
"DAEMON Tools" = "C: \ Archivos de programa \ DAEMON Tools \ daemon.exe" [2007-08-29 10:09 171464]
"Yahoo! Pager" = "C: \ Archivos de programa \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 17:43 4670704]
"SUPERAntiSpyware" = "C: \ Archivos de programa \ SUPERAntiSpyware \ SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"SoundMan" = "SOUNDMAN.EXE" [2006-11-16 16:42 577536 C: \ WINDOWS \ SOUNDMAN.EXE]
"ATICCC" = "C: \ Archivos de programa \ ATI Technologies \ ATI.ACE \ cli.exe" [2005-08-12 13:43 45056]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe" [2007-09-25 01:11 132496]
"iTunesHelper" = "C: \ Archivos de programa \ iTunes \ iTunesHelper.exe" [2007-09-26 13:42 267064]
"CloneCDTray" = "C: \ Archivos de programa \ SlySoft \ CloneCD \ CloneCDTray.exe" [2006-09-28 14:21 57344]
"AVG7_CC" = "C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe" [2008-01-20 17:18 579072]
"! AVG Anti-Spyware" = "C: \ Archivos de programa \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" [2007-06-11 04:25 6731312]
"LXCFCATS" = "C: \ WINDOWS \ System32 \ spool \ drivers \ W32X 86 \ 3 \ LXCFtime.dll" [2005-07-20 12:47 73728]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"AVG7_Run" = "C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe" [2008-01-20 17:18 219136]
C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \
Utilidad de configuración inalámbrica HW.15.lnk - C: \ Archivos de programa \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe [2007-01-30 13:57:42 577536]
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ actuales ntversion \ Policies \ System]
"DisableRegistryTools" = 0 (0x0)
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entversion \ explorer \ shellexecutehooks]
"(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = C: \ Archivos de programa \ SUPERAntiSpyware \ SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
"UIHost" = "LogonUI.EXE"
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \! SASWinLogon]
C: \ Archivos de programa \ SUPERAntiSpyware \ SASWINLO.dll 2007-04-19 13:41 294912 C: \ Archivos de programa \ SUPERAntiSpyware \ SASWINLO.dll
[HKLM \ ~ \ startupfolder \ C: Documents and Settings ^ ^ ^ Todos los usuarios del menú Inicio Programas ^ ^ ^ inicio Sonic CinePlayer Quick Launch.lnk]
path = C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \ Sonic CinePlayer Quick Launch.lnk
backup = C: \ WINDOWS \ pss \ Sonic CinePlayer Quick Launch.lnkCommon de inicio
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ igndlm.exe]
C: \ Archivos de programa \ Download Manager \ DLM.exe
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ MSMSGS]
--------- 2004-10-13 11:24 1694208 C: \ Archivos de programa \ Messenger \ msmsgs.exe
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ QuickTime Tarea]
- un ------ 2007-06-29 05:24 286720 C: \ Archivos de programa \ QuickTime \ qttask.exe
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ SBCSTray]
C: \ Archivos de programa \ Sunbelt Software \ CounterSpy \ SBCSTray.exe
R0 videX32; videX32; C: \ WINDOWS \ system32 \ DRIVERS \ videX3 2.sys [2006-10-17 07:22]
R0 xfilt; VIA SATA IDE Hot-plug conductor; C: \ WINDOWS \ system32 \ DRIVERS \ xfilt.sys [2006-10-18 04:39]
R1 ALCXWDMM; ALCXWDMM; C: \ WINDOWS \ system32 \ drivers \ ALCX WDMM.sys [2008-01-20 16:39]
R1 Cinemsup; Cinemsup; C: \ WINDOWS \ system32 \ drivers \ cine msup.sys [2002-07-19 09:10]
R3 odysseyIM3; Odisea de servicios de red de minipuerto; C: \ WINDOWS \ system32 \ DRIVERS \ odysseyIM3.sy s [2007-08-17 20:35]
S3 rtl8180; Realtek RTL8180 LAN inalámbrica (Mini-) PCI NIC NT, C: \ WINDOWS \ system32 \ DRIVERS \ RTL8180.SYS [2003-12-30 12:20]
S3 SetupNTGLM7X; SetupNTGLM7X; D: \ NTGLM7X.sys []
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ actuales ntversion \ explorer \ mountpoints2 \ (5ed3c7c1-4bdf-11dc-8daa-806d6172696f)]
\ Shell \ AutoRun \ command - D: \ autorun.exe

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804)]
C: \ WINDOWS \ system32 \ vsc32.exe
.
************************************************** ************************
CatchMe 0.3.1344 W2K/XP/Vista - rootkit / sigilo de malware detector de Gmer, http://www.gmer.net
Rootkit exploración 2008-01-22 00:37:48
5/1/2600 Windows Service Pack 2 NTFS
oculta los procesos de exploración ...
exploración escondida entradas ...
escaneo los archivos ocultos ...
de exploración se ha completado con éxito
los archivos ocultos: 0
************************************************** ************************
.
Terminación de tiempo: 2008-01-22 0:42:14 - máquina se reinicia
ComboFix-cuarentena-files.txt 2008-01-22 05:42:10
.
2008-01-11 00:38:07 --- --- EF

**evilfantasy** · #8 21 de enero 2008, 22:57

Descargar El Avenger Por Swandog46, Y guárdelo en el escritorio.

Extracto de la cremallera avenger.exe archivo y guárdelo en el escritorio
Ejecutar avenger.exe haciendo doble clic sobre ella.
Compruebe la Script de entrada manual caja.
Haga clic en el icono de la lupa que se abrirá una nueva ventana titulada Ver / editar script
Copia todo Codee en el cuadro de abajo y péguelo en la caja que se abre:

Código:

Para borrar las carpetas: C: \ Temp \ Archivos TN3 para borrar: C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk claves del Registro que desea eliminar: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267 - DB51-0008-030706070804)

Nota: la cita anterior se ha creado específicamente para este usuario. Si no está este usuario, NO siga estas instrucciones, ya que podría dañar el funcionamiento de su sistema

Ahora haga clic en elHechoBotón.
Haga clic en el Luz Verde y Aceptar el símbolo del sistema.
Se le pedirá que reinicie, haga clic en Aceptar en la pronta y debe reiniciar su PC, si no, reinicie por sí mismo.
Un archivo de registro de Avenger se producirá en C: \ avenger.txt

El Avenger automáticamente haga lo siguiente:

Se Reinicie el equipo. (En los casos en que el código a ejecutar contiene "Los conductores de descarga", El vengador realmente reiniciar el sistema dos veces.)
En el arranque, que brevemente abrir una ventana de comando negro en su escritorio, esto es normal.
Tras el reinicio, es crea un archivo de registro que debería abrir con los resultados de las acciones de Avenger.

Este archivo de registro se encuentra en C: \ avenger.txt

El Avenger también tendrá copia de seguridad de todos los archivos, etc, que le pidió que eliminar, Y se han comprimido y se trasladó el archivo zip a C: \ Avenger \ backup.zip.

Por favor adjuntar el C: \ avenger.txt en su próximo puesto.

----------

Siguiente post
Avenger registro

**Psychaospath** · #9 21 de enero 2008, 23:09

u ir bien aquí, todavía emergentes btw.

El Avenger 'log' de la versión 1, por Swandog46
A partir de la clave del Registro:
\ Registry \ Machine \ System \ CurrentControlSet \ Servicio s \ hptxmheu
*******************
Archivo de comandos se encuentra en: wqwsrviw
No se pudo abrir el archivo de comandos! Error
No se pudo abrir el archivo de comandos! Estado: 0xc000003b Abortar!

**Psychaospath** · #10 21 de enero 2008, 23:16

Vaya mi mala i redid ella, el primo de registro didnt mirar derecho y, al parecer, i didnt hacer algo desde el primer momento, Heres el nuevo registro. oh y todavía hay pop-ups.

El Avenger 'log' de la versión 1, por Swandog46
A partir de la clave del Registro:
\ Registry \ Machine \ System \ CurrentControlSet \ Servicio s \ mkawvjax
*******************
Archivo de comandos se encuentra en: \? \ C: \ WINDOWS \ system32 \ ygueewld.txt
Archivo de comandos abierto con éxito.
Leer archivo de comandos con éxito
Copias de seguridad de directorio abierto con éxito en C: \ Avenger
*******************
A partir del proceso de archivo de secuencia de comandos:
Carpeta C: \ Temp \ TN3 suprimido con éxito.
El archivo C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk suprimido con éxito.
Clave del registro HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804) suprimido con éxito.
Concluido el procesamiento script.
*******************
¡Final! Terminar.

Hilos similares
Hilo	Hilo para principiantes	Foro	Respuestas	Último mensaje
¿Necesita Ayuda Eliminar Adware	ezong	Virus, Spyware y Seguridad	8	15 de julio 2009 13:15
Tribalfusion es esto algún tipo de software publicitario	hopthwoks	Virus, Spyware y Seguridad	2	2 de febrero 2009 01:37
ADWARE DE problemas	Marcus123	Virus, Spyware y Seguridad	3	30 de enero 2008 11:11
Adware problemas no pueden dejar de pop-ups	passat	Virus, Spyware y Seguridad	8	23 de enero 2008 21:42
Nid ayuda! ~ No puedo eliminar este adware / virus!	jomm43point67	Virus, Spyware y Seguridad	10	16 de enero 2008 08:38

Herramientas de hilo
Mostrar Versión para imprimir Enviar esta página