Trojon cree que ser eliminados, pero .....

**rbscooby** · #1 21 de abril de 2008, 11:50

Tengo un trojon unos días y me sanó utilizando AVG, que me dijo que reiniciar el equipo lo hizo, pero luego volvió diciendo que estaba infectado de nuevo, por lo que este tiempo me mudé a los virus y valut eliminado, este se detuvo diciendo que estaba infectado, pero ahora me sale un mensaje de error viene diciendo que el archivo que el virus no puede encontrar y acceso denegado i, tiene el trojon cambiado mi Registro y ahora Windows no puede encontrar el virus, i no sabes?

pero esto es extraño, como puede ver a continuación es mi barra de inicio, si se mira al reloj nxt, todos los iconos se han divertido, esto sucedió cuando recibió el trojon.

alguien me puede ayudar a reparar problemas en este icono, ya que se está haciendo en mi nervio, el resto del equipo está funcionando con normalidad, su justa i cant i abrir cosas WHN minmize y se trasladan a la bandeja, y que también será posible recomendar donde puedo ir a hacer el doble seguro de que esta ha ido tan trojon i saben que pueden volver themelves y luego vuelva a colocar de nuevo el terreno o después de la origanel se ha suprimido.

disculpas por cualquier error de ortografía o de esta puesta en el lugar equivocado, pero esto había sido causado por un tojon a mi conocimiento.

mi equipo es el siguiente:
Procesador de 800Mhz P3
512mb de RAM
Disco duro de 30 GB
windows xp profesional

**evilfantasy** · #2 21 de abril de 2008, 11:53

Bienvenidos a CJ.

Ver y cambiar el nombre de HijackThis (HJT)

Haga doble clic en HJTInstall.
Haga clic en el Instale botón.
Se coloca automáticamente en HJT C: \ Archivos de programa \ TrendMicro \ HijackThis \ HijackThis.exe
Al instalar, debe HijackThis abierto para ti.
- Cerrar HijackThis y cambiarle el nombre.
- Ir a C: \ Archivos de programa \ Trend Micro \HijackThis.exe
- Haga clic derecho en HijackThis.exe y seleccione Renombrar
- Tipo de sniper.exe y oprima Introduzca
- Haga clic con el botón encendido sniper.exe y seleccione Enviar a > Escritorio (crear acceso directo)
Desde el escritorio abierto HijackThis.
Si se utiliza Windows Vista, Haga clic con el botón y Ejecutar como administrador
Haga clic en Hacer un sistema de exploración y guardar un archivo de registro
HijackThis escaneará y luego se abrirá un registro en el Bloc de notas.
Copie y pegue todo el contenido del registro en su puesto.
- No han HijackThis arreglar nada. La mayor parte de lo que se considera inofensivo, o incluso necesario.

Nota: Aunque hemos cambiado de nombre a HijackThis francotirador, que aún se refieren a ella como HijackThis o HJT.

**rbscooby** · #3 21 de abril de 2008, 12:01

'Log' de Trend Micro HijackThis V2.0.2
Escanear guardado en 19:59:33, a 21/04/2008
Plataforma: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Modo de arranque: Normal
Procesos que se están ejecutando:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ Archivos de programa \ Archivos comunes \ Apple \ Dispositivo móvil Support \ bin \ AppleMobileDeviceService.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ Archivos de programa \ Bonjour \ mDNSResponder.exe
C: \ Archivos de programa \ Comodo \ Firewall \ cmdagent.exe
C: \ WINDOWS \ Explorer.EXE
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Archivos de programa \ Comodo \ Firewall \ CPF.exe
C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe
C: \ Archivos de programa \ iTunes \ iTunesHelper.exe
C: \ Documents and Settings \ Katie \ svchost.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Archivos de programa \ iPod \ bin \ iPodService.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ devldr32.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ Archivos de programa \ Internet Explorer \ IEXPLORE.EXE
C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Archivos de programa \ limewire \ limewire.exe
C: \ WINDOWS \ Microsoft.NET \ Framework \ v3.0 \ Windows Communication Foundation \ infocard.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Archivos de programa \ Trend Micro \ HijackThis \ sniper.exe.exe
R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Internet Connection Wizard, ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int. ernet Ajustes, ProxyOverride = *. local
O2 - BHO: (no nombre) - (3CAB59B4-55A3-4737-9FD5-B93C6430BF75) - C: \ WINDOWS \ system32 \ vmudtcfc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Archivos de programa \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O2 - BHO: (no nombre) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (no file)
O2 - BHO: (no nombre) - (8ED10090-2269-4205-82A8-C74E1F6A7E5A) - C: \ WINDOWS \ system32 \ ddcCTmKC.dll (archivo de desaparecidos)
O2 - BHO: Windows Live Sign-Ayuda en - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: (no nombre) - (EE5A1465-1E73-4784-8F63-45983FDF0DB8) - C: \ WINDOWS \ system32 \ awtusqOf.dll (archivo de desaparecidos)
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / INICIO
O4 - HKLM \ .. \ Run: [COMODO Firewall de Pro] "C: \ Archivos de programa \ Comodo \ Firewall \ CPF.exe" / antecedentes
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [QuickTime Tarea] "C: \ Archivos de programa \ QuickTime \ QTTask.exe"-atboottime
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Archivos de programa \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [Proceso de host] C: \ Documents and Settings \ Katie \ svchost.exe
O4 - HKLM \ .. \ Run: [BM639603ab] Rundll32.exe "C: \ WINDOWS \ system32 \ ygtmlndf.dll", s
O4 - HKCU \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (El usuario 'SERVICIO LOCAL')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (Usuario 'SERVICIO LOCAL')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (El usuario 'Servicio de red')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (El usuario "sistema")
O4 - HKUS \. DEFAULT \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (El usuario predeterminada de usuario ')
O8 - Extra menú contextual tema: E & xport a Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - Extra botón: (sin nombre) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Archivos de programa \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra "Herramientas" menuitem: Consola de Sun Java - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Archivos de programa \ Java \ jre1.6.0_05 \ bin \ ssv.dll
O9 - Extra botón: Investigación - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Extra botón: (sin nombre) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Red de diagnóstico \ xpnetdiag.exe
O9 - Extra "Herramientas" menuitem: @ Xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Red de diagnóstico \ xpnetdiag.exe
O9 - Extra botón: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Archivos de programa \ Messenger \ msmsgs.exe
O9 - Extra "Herramientas" menuitem: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Archivos de programa \ Messenger \ msmsgs.exe
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (Crucial cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - Winlogon Notificar: awtusqOf - awtusqOf.dll (archivo de desaparecidos)
O23 - Servicio: Apple dispositivos móviles - Apple, Inc. - C: \ Archivos de programa \ Archivos comunes \ Apple \ Dispositivo móvil Support \ bin \ AppleMobileDeviceService.exe
O23 - Servicio: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Servicio: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Servicio: Servicio Bonjour - Apple Inc. - C: \ Archivos de programa \ Bonjour \ mDNSResponder.exe
O23 - Servicio: Aplicación de agente de Comodo (CmdAgent) - COMODO - C: \ Archivos de programa \ Comodo \ Firewall \ cmdagent.exe
O23 - Servicio: Servicio del iPod - Apple Inc. - C: \ Archivos de programa \ iPod \ bin \ iPodService.exe
--
Fin de archivo - 6141 octetos

**evilfantasy** · #4 21 de abril de 2008, 12:09

Usted todavía tiene algunas infecciones muy mal. Tenemos que ejecutar algunas herramientas que ayudarán con el traslado.

Descargar SDFix.exe y guárdelo en el escritorio.

Haga doble clic en SDFix.exe y que va a extraer los archivos a% systemdrive%
(Unidad que contiene el directorio de Windows, normalmente C: \ SDFix)

Por favor, a continuación, reinicie el equipo en Modo a prueba de errores haciendo lo siguiente:

Reinicie el equipo
Después de escuchar una vez el equipo pitido durante el arranque, pero antes de que aparezca el icono de Windows, pulse la tecla F8 continuamente;
En lugar de carga de Windows de forma normal, el menú Opciones avanzadas deberían aparecer;
Seleccione la primera opción para ejecutar Windows en Modo a prueba de errores, a continuación, pulse Introduzca.
Seleccione su cuenta habitual.
Abra la carpeta y extrajo SDFix doble clic RunThis.bat para iniciar la secuencia de comandos.
Tipo Y para comenzar el proceso de limpieza.
Se eliminará cualquier Trojan Servicios y entradas del Registro que se encuentra a continuación, le pedirá que presione cualquier tecla para reiniciar.
Pulse cualquier tecla y se reinicia el PC.
Cuando el ordenador se reinicia el Fixtool correr de nuevo y completar el proceso de eliminación de la pantalla a continuación, Terminado, Presione cualquier tecla para finalizar el script y cargar los iconos del escritorio.
Una vez que la carga de los iconos de escritorio SDFix informe, se abrirá en la pantalla y guardar en la carpeta que SDFix Report.txt
(Report.txt también será copiado al Portapapeles).
Por último añadir el contenido de la Report.txt en su próximo puesto.

----------

Por favor, descargue por Combofix SUBS de uno de los enlaces a continuación.
(Pruebe los tres si es necesario)

¡Importante! Combofix.exe DEBE se guardarán y se desarrolló de la Escritorio.

Cerrar todos los navegadores Web. (Firefox, Internet Explorer, etc) antes de comenzar Combofix.
¡Importante! Temporalmente desactivar tu antivirus, secuencia de comandos de bloqueo y cualquier antispyware protección en tiempo real antes de realizar un análisis.
- Haga clic en este enlace para ver una lista de programas de seguridad que deben ser discapacitados y la manera de desactivarlo.
- Si el suyo no está en la lista y usted no sabe cómo desactivar, por favor preguntar.
Advertencia: Combofix se desconecta el equipo desde el Internet. La conexión se restableció automáticamente Combofix completa antes de su plazo.
Haga doble clic en combofix.exe y sigue las instrucciones.
- Elija Sí para aceptar las renuncias.[
Cuando haya terminado, se elaborará un registro para usted.
Puesto que entrar en su próxima respuesta.

Advertencia: No mouseclick combofix la ventana mientras se está ejecutando. Que puede causar a pérdida de sustentación

Si se ejecuta en Combofix dificultad y termina prematuramente, la conexión puede ser restaurado por reiniciar manualmente el equipo.
Importante: Recuerde volver a habilitar tu antivirus y antispyware antes de volver a la Internet.

----------

Siguiente después añada
SDFix registro
Combofix registro

**rbscooby** · #5 21 de abril de 2008, 12:23

lo siento pero no puedo hacer esto ahora, se trata de un ordenador, pero amigos tengo que ir ahora de vuelta en el próximo viernes para continuar.

**evilfantasy** · #6 21 de abril de 2008, 12:24

No hay problema, vamos a estar aquí.

**rbscooby** · #7 22 de abril 2008, 12:00

hey im back, resulta que había un lugar libre de hoy, así que vine aquí de nuevo para terminar con mis amigos de ordenador, ahora que hice la primera mitad de la cosa. poco uso de SDfix cosa, ha ordenado a mi bandeja de la barra de inicio gracias a usted, pero yo lo hice después de que reinicie poco en volver normal de las ventanas de modo seguro, llegó hasta decir, que era la comprobación de los programas maliciosos y tomar unos 5 minutos como usted dice, pero me han dejado para más de una hora, y nada, es que realmente se necesita escanear final?

así que todo lo que tienes en ese archivo de registro se :

SDFix: Versión 1.173
Dirigida por Katie el 22/04/2008 a 18:41
Microsoft Windows XP [Versión 5/1/2600]
Correr De: C: \ SDFix
Servicios de cheques :

Restauración de los valores del Registro de Windows
Restauración de Windows por defecto archivo Hosts
Reiniciando

Comprobación de los archivos :
Trojan archivos de búsqueda:
C: \ Documents and Settings \ Katie \ svchost.exe - Suprimido
C: \ WINDOWS \ system32 \ pac.txt - Suprimido

La eliminación de archivos temporales
Compruebe ADS :

**evilfantasy** · #8 22 de abril de 2008, 12:03

Cita:

salió diciendo que era la comprobación de los programas maliciosos y tomar unos 5 minutos

Que la exploración? SDFix o Combofix.

**rbscooby** · #9 22 de abril de 2008, 12:05

sdfix combo aún no lo hayan hecho, debo hacer ahora?

**evilfantasy** · #10 22 de abril de 2008, 12:11

Sí detener SDFix si todavía está corriendo y hacer la exploración Combofix.

Instalarlo en el escritorio y ejecutarlo como este.

Por favor, descargue por Combofix SUBS de uno de los enlaces a continuación.
(Pruebe los tres si es necesario)

¡Importante! Combofix.exe DEBE se guardarán y se desarrolló de la Escritorio.

Cerrar todos los navegadores Web. (Firefox, Internet Explorer, etc) antes de comenzar Combofix.

Asegúrese de que combofix se encuentra en su escritorio.
Ahora STOP todos sus programas de monitoreo
Haga clic en este enlace para ver una lista de programas de seguridad que deben ser discapacitados y la manera de desactivarlo.
Haga clic en su PRINCIPIO botón y elegir Correr. Entonces copiar / pegar el todo contenido de la siguiente Codebox (incluyendo la "" marcas y los signos) en el cuadro Ejecutar.

Código:

"% userprofile% \ Escritorio \ ComboFix.exe" / killall

Haga clic en Aceptar y se iniciará este combofix de una manera especial.
Cuando haya terminado, se producirá un registro.
Por favor, salvo que acceda a un archivo del Bloc de notas y lo incluya en su próxima respuesta.

Nota:
No haga clic en el ratón-combofix la ventana mientras se está ejecutando. Que puede causar a pérdida de sustentación.

* ComboFix se Reiniciar automáticamente su máquina cuando el Killall modificador se usa.

Combofix (CF) la máquina se desconecta de Internet. La conexión se restableció automáticamente antes CF realiza su plazo.
Si se ejecuta en dificultad CF y termina prematuramente, La conexión puede ser restaurado por reiniciar manualmente el equipo.

Publicar todo el Combofix de registro en la siguiente respuesta.

Herramientas de hilo
Mostrar Versión para imprimir Enviar esta página