PC muy inestable, detecto virus en pendrive

Malware, virus y troyanos, intrusiones, análisis de logs, firewalls, etcétera...

PC muy inestable, detecto virus en pendrive

Notapor Turson » 24 Nov 2008 01:39

Saludo foreros. Tengo la PC muy inestable,el sistema se cuelga intempestivamente. Ya vengo padeciendo esto hace mucho tiempo, pero el tema se ha acrecentado. He agregado una tarjeta de memoria nueva DIMM de 512 MB de RAM. Incluyo el tema aqui debido a las detecciones del antivirus Kaspersky en un cyber. En mi PC no tengo internet, es por ello que aplicación que vaya a utilizar para seguridad, tendrá que ser con actualizaciones recientes y ejecución offline :wink:
Intenté formatear e instalar de nuevo el windows xp desde el cd. Y en la carga inicial, me terminan apareciendo los clásicos errores 000000E3, el 0x0000008E, el 000000D1.
ImagenImagenImagenImagen

Continuos errores abriendo o usando la ventana de "Quitar o Agregar Programas", tales como "rundll32.exe o Explorer.exe ha detectado un problema y debe cerrarse", también éste
ImagenImagen
El Avance AC'97 Audio (driver) no se deja desinstalar correctamente, aparece esto:
ImagenImagen ImagenImagen
El dispositivo de audio que me aparece como único es el Via (WAVE).

El sistema se cuelga y al reiniciarse aparece que se ha recuperado de un error grave.
Intentando varias veces pude desinstalar muchos programas. Luego al intentar instalar el Open Office o el Java versiones recientes, me salen los siguientes errores. (Hasta hace menos de 1 mes los instalaba sin problemas).
Imagen ImagenImagenImagen
ImagenImagenImagenImagenImagenImagenImagenImagen
Lo nuevo que le hice a la compu fue aumentarle la memoria tipo DIMM, de 256 MB a 760 MB de RAM, pero no se que decir.
No se si el equipo se terminó de vino a peor, luego de mover una carpeta ubicada en la partición de "Mis Archivos", con la cual se colgó el sistema.

Hace varios días, antes de instalar la nueva tarjeta DIMM de memoria, le di una pasada a mi vieja memoria de 256 de RAM con el Memtest. Arrojó 0 errores:
Imagen

He desistalado casi todos los programas para observar comportamiento, pero la PC continúa igual, estado o no conectada la pendriver. Tampoco puedo instalar el MS Office, ya que este se me bloquea en el archivo PR103369.CAB, pero no se si se deba al disco o a la unidad cd-rom.
Me aparecen archivos con nombre extraños, subcarpetas con el mismo nombre de las carpetas, que al hacer clik conducen al escritorio o cuelgan el sistema, de por si ya muy inestable al usar el explorador de windows simplemente. carpetas llmadas DATA_mi nombre.
No puedo ejecutar nuevamente el Memtest porqué al reiniciarse me aparece: Quitar discos o medios...Pres. una tecla. y no puedo ejecutarlo desde el disquette.
Además, las opciones de Carpeta no me aparecen en el menú de Herramientas.
En el cyber, el kaspersky me arroja lo siguiente:
23/11/2008 06:23:38 p.m. F:\Data ADMINISTRADOR.exe Explorador de Windows Detectados: Email-Worm.Win32.Brontok.q
23/11/2008 06:23:43 p.m. F:\Data ADMINISTRADOR.exe Explorador de Windows Eliminado: Email-Worm.Win32.Brontok.q
23/11/2008 06:23:43 p.m. F:\Data CARLOS DANIEL.exe Explorador de Windows Detectados: Email-Worm.Win32.Brontok.q
23/11/2008 06:23:44 p.m. F:\Data CARLOS DANIEL.exe Explorador de Windows Eliminado: Email-Worm.Win32.Brontok.q
Antivirus de archivos y memoria (eventos: 6)
23/11/2008 08:35:41 a.m. Antivirus de correo y chat Kaspersky Anti-Virus Tarea iniciada
Antivirus de archivos y memoria (eventos: 6)
23/11/2008 08:35:41 a.m. Antivirus Internet Kaspersky Anti-Virus Tarea iniciada

Me informa que los ha eliminado.
"La mayoría de la gente son otra gente. Sus pensamientos son la opinión de otros, sus vidas son una imitación, sus pasiones son una cita de otra persona".
Oscar Wilde
Avatar de Usuario
Turson
Esporádico
 
Mensajes: 37
Registrado: 17 May 2006 22:03
Ubicación: Colombia

Notapor Mr_X » 24 Nov 2008 02:42

Parece que tienes errores con la memoria... ¿Probaste las memorias una por una?
Saca un log del HijackThis (clic)...

Jesus is my girlfriend
Mr_X
Socio VIP
 
Mensajes: 2405
Registrado: 18 Sep 2005 06:54

Notapor Turson » 25 Nov 2008 02:57

Quité la memoria nueva de 512 MB, y volvió a ser estable, además pude instalarle el OpenOffice. Pero continúa con el resto de errores que les mencioné, aunque no puedo asegurarlo lo de si muestra error con el cd del winxp. Aún no permite botear la aplicación memtest desde el disquete en el reinicio.
No se si lo mencioné en mi anterior mensaje, pero las opciones de carpeta del menu herramientas me han desaparecido, como si el equipo no me reconociese como administrador. Entonces, no puedo habilitar la opción mostrar archivos y carpetas ocultos.
Sin tener internet, me he vuelto a instalar el avast antivirus 4.7 con sus actualizaciones de enero. Me dió la opción de escaneo en el boteo de inicio, y vaya que me halló toda una sarta de detecciones que el mismo fue eliminando, (al principio mandé una al baul).
Parece que el avast! ha hecho una buena tarea, pero al reinicio el equipo se me queda estacionado unos segundos de más en la pantalla de bienvenido, la PC me emite beep y después se inicia con este error:
Imagen
Y las aplicaciones de inicio que me aparecen son las sgtes:
Imagen
Ya borré esas extrañas entradas, pero el error continúa.

Ya se como puedo programar el MemTest 3.4, debo ejecutarlo desde la PC y no desde el disquette, para así poder formatear el disco a su manera.

Probando con drivers más recientes del Audio AC97, me he quedado sin audio en mi PC. Y me han ocurrido cuelgues repentinos, con la vuelta con alerta de error grave.
Mi equipo es un AMD Athlon XP 1800 1.53 GHz y en este momento 248 MB de RAM tarjeta de memoria DIMM

PD: me han mencionado que use el elipen.exe, y después el elistara.exe si es necesario.
Mi proble al parecer tiene mucho de hardware. La trajeta de memoria esta ahora tendré que cambiarla o que hacer??
"La mayoría de la gente son otra gente. Sus pensamientos son la opinión de otros, sus vidas son una imitación, sus pasiones son una cita de otra persona".
Oscar Wilde
Avatar de Usuario
Turson
Esporádico
 
Mensajes: 37
Registrado: 17 May 2006 22:03
Ubicación: Colombia

Notapor Elemental » 26 Nov 2008 16:28

Puedes pasar el ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe (puedes mirar este manual http://www.forospyware.es/manuales/31-d ... anual.html) marcando la letra del pendrive en el analisis personalizado. y Pasa:

http://download.bleepingcomputer.com/sU ... fector.exe (by sUBs): Utilidad contra los virus, troyanos y gusanos que infectan la memoria Flash USB a través de dispositivos de almacenamiento extraíbles (pendrives):
Desactiva temporalmente el antivirus residente y/o cualquier programa que impida la ejecución de Scripts (esto es necesario para poder ejecutar Flash_Disinfector.exe) . Introduce el pendrive en el puerto USB del PC. Descarga y ejecuta "Flash_Disinfector.exe". La pantalla del PC aparecerá en color negro y parpadeará durante unos instantes. Espera a que "Flash_Disinfector" termine el proceso de limpieza. Reinicia el PC para guardar los cambios. El pendrive quedará inmunizado (se generará la carpeta oculta autorun.inf protegida contra escritura en el dispositivo extraíble) y evitará la propagación de la infección a otros PCs.
Avatar de Usuario
Elemental
Habitual
 
Mensajes: 140
Registrado: 29 May 2008 12:12

Notapor conde » 26 Nov 2008 18:38

lo que percivo por la imagen tienes unas entradas en el inicio que habria tuneup tendrias que desmarcar las entradasestas

br9099on

rakyatkelaparan

tok-cirrhatus

haber que pasa que me parecen que llaman aun archivo que se a eliminado pero la entrada esta msconfig inicio
Avatar de Usuario
conde
 

Notapor Turson » 30 Nov 2008 02:59

Escaneando desde el boteo de inicio con el Memtest86 v3.4, con la sóla tarjeta RAM de 512 MB en la PC, se me genera esta pantalla con errores (hubo bloqueó del equipo allí a los 19 minutos)
Imagen

Cuando escaneo a ambas tarjetas RAM 512 + 256, es decir 760 de RAM, después de un tiempo, la pantalla se llena de rallas, haciéndose casi inentendible y generando enorme cantidad de errores, escanié tanto con la v3.3 como la v3.4:
Imagen

En el escaneo de la sóla tarjeta de 256 MB de RAM, hace su pasada total con 0 errores:
Imagen

Escaneé con el Spybot S&D con sus nuevas actualizaciones instaladas. Éste alcanzó a detectar varios errores, y se colgó al encontrar uno relacionado con "Virtumonde". Tambièn intenté con el SAS actualizado, y éste también me cuelga el equipo, incluso usándolos en modo seguro.
En cualquiera de las situaciones, mi SO winxp está inestable, ciertamente mucho más al estar funcionando la RAM de 512 dentro.
Si es cierto que la nueva tarjeta RAM está con defectos, mi idea es limpiar mi PC de bichos y solicitar la garantía.
Aquí dejó mi log de hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:16:50, on 28/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\A4Tech\Mouse\Amoumain.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.6.0_04\bin\jusched.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_04\bin\ssv.dll
O4 - HKLM\..\Run: [WheelMouse] C:\Archivos de programa\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_04\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 2558810391
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 3904 bytes
Última edición por Turson el 29 Abr 2009 14:40, editado 1 vez en total
"La mayoría de la gente son otra gente. Sus pensamientos son la opinión de otros, sus vidas son una imitación, sus pasiones son una cita de otra persona".
Oscar Wilde
Avatar de Usuario
Turson
Esporádico
 
Mensajes: 37
Registrado: 17 May 2006 22:03
Ubicación: Colombia

Notapor rid501 » 30 Nov 2008 12:26

- Deshabilita la opción Restaurar Sistema
- Marca y elimina:
Código: Seleccionar todo
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

- Elimina el archivo C:\WINDOWS\KesenjanganSosial.exe
- Elimina ficheros temporales y vacia la Papelera de reciclaje
- Reinicia el equipo y saca un nuevo log.
Avatar de Usuario
rid501
Socio VIP
 
Mensajes: 3499
Registrado: 04 Jun 2005 09:05
Ubicación: HKU

Notapor Turson » 02 Dic 2008 02:29

Ya he borrado el virus brontok siguiendo los pasos con el hijackthis, ccleaner, el mismo avast en su ejecución de boteo, el Spybot S&D (el cual me detectó varios residuos y el cambio que restauró las opciones de carpeta), el Dr web CureIt.
Olvidé traer el último log del hijackthis, pero ya en los resultados ya no me aparecen esas entradas F2 y O7.
El caso es que el equipo, aún se me queda parado unos 30 segundos en la pantalla de bienvenido y otros 25 seg cargando los iconos y activando el panel de inicio con el click del ratón ::Help::, ello ocurre estando dentro mi tarjeta de memoria de 256 MB (la cual me genera 0 errores en el escaneo con el Memtest86 y sus varias pasadas, tal vez deba descartarla del problema).
El escaneo completo con el SAS en modo seguro se colgó y la PC se reinició con error grave.
Mi otro gran inconvenite es la nueva tarjeta DIMM de memoria RAM que he adquirido, cuando está presente esta nueva de 512 MB, el sistema se hace aún más inestable. Aquí dejó los errores que ésta me genera:
Imagen Imagen

PD: No se si fuese necesario decirlo para este tema, pero en la carpeta de archivos de programa, la denominada InstallShield Installation me aparece junto a la InstallShield Installation (2)
Última edición por Turson el 05 Dic 2008 17:26, editado 3 veces en total
"La mayoría de la gente son otra gente. Sus pensamientos son la opinión de otros, sus vidas son una imitación, sus pasiones son una cita de otra persona".
Oscar Wilde
Avatar de Usuario
Turson
Esporádico
 
Mensajes: 37
Registrado: 17 May 2006 22:03
Ubicación: Colombia

Notapor conde » 02 Dic 2008 19:45

no sera que ese error lo genera la grafica que no esta bien sugeta o esta sucia limpiala y limpia las memorias cuidadin con los contatos y las guellas guantes de latex para cuando manipules

alchol de farmacia no de 90º es para limpiar la grafica pordonde astocado con las manos
Avatar de Usuario
conde
 

Notapor Mr_X » 02 Dic 2008 19:55

1.-Descarta ya la memoria de 512MB que no parece ser compatible y/o tiene fallos. Ve si la puedes cambiar en la tienda donde la compraste.
2.-Saca un log del Autoruns (clic)...

Jesus is my girlfriend
Mr_X
Socio VIP
 
Mensajes: 2405
Registrado: 18 Sep 2005 06:54

Notapor Turson » 03 Dic 2008 09:03

El asunto sea de limpieza del harware, pues tendría que verlo un técnico por aquello de la tarjeta viejita que al parecer está buena (0 errores). Probaré el Autoruns en modo seguro.
PD: anteriormente me había equivocado, ya que con el aplicativo CureIt, el sistema también se me colgó y se reinició abruptamente, el programa dejó un log, se colgó cuando aún iba por el escaneo de archivos de la partición de mi sistema (C:\ )
Aquí dejo el log de hijackthis después de la limpieza, (después les mando el del autoruns).
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:37:34, on 02/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_04\bin\ssv.dll
O4 - HKLM\..\Run: [WheelMouse] C:\Archivos de programa\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [S3apphk] S3apphk.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_04\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 2558810391
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 3408 bytes

Debo decir, que después de la limpieza, me aparecieron residuos del bron-tok en la carpeta Docu and settings\..., los cuales borré manualmente:
Imagen
"La mayoría de la gente son otra gente. Sus pensamientos son la opinión de otros, sus vidas son una imitación, sus pasiones son una cita de otra persona".
Oscar Wilde
Avatar de Usuario
Turson
Esporádico
 
Mensajes: 37
Registrado: 17 May 2006 22:03
Ubicación: Colombia

Notapor Turson » 05 Dic 2008 04:32

Mi log con el autoruns:

HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ avast! avast! service GUI component (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashdisp.exe
+ SunJavaUpdateSched Java(TM) Platform SE binary (Verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre6\bin\jusched.exe
+ WheelMouse Amoumain (Not verified) A4Tech Co.,Ltd. c:\archivos de programa\a4tech\mouse\amoumain.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio
C:\Documents and Settings\Carlos Daniel\Menú Inicio\Programas\Inicio
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
+ ic32pp c:\windows\wc98pp.dll
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components
+ 0 File not found: About:Home
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
+ SABShellExecuteHook Class ShellExecuteHook (Not verified) SuperAdBlocker.com c:\archivos de programa\superantispyware\sasseh.dll
HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
+ avast avast! Shell Extension (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashshell.dll
+ SASContextMenu Class SUPERAntiSpyware Context Menu Extension (Not verified) SUPERAntiSpyware.com c:\archivos de programa\superantispyware\sasctxmn.dll
+ TuneUp Shredder Shell Extension TuneUp Shredder Shellerweiterung (Verified) TuneUp Software GmbH c:\archivos de programa\tuneup utilities 2007\sdshelex-win32.dll
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
HKCU\Software\Classes\Directory\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
+ SASContextMenu Class SUPERAntiSpyware Context Menu Extension (Not verified) SUPERAntiSpyware.com c:\archivos de programa\superantispyware\sasctxmn.dll
+ TuneUp Shredder Shell Extension TuneUp Shredder Shellerweiterung (Verified) TuneUp Software GmbH c:\archivos de programa\tuneup utilities 2007\sdshelex-win32.dll
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\Directory\Shellex\DragDropHandlers
HKLM\Software\Classes\Directory\Shellex\DragDropHandlers
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\Directory\Shellex\PropertySheetHandlers
HKLM\Software\Classes\Directory\Shellex\PropertySheetHandlers
HKCU\Software\Classes\Directory\Shellex\CopyHookHandlers
HKLM\Software\Classes\Directory\Shellex\CopyHookHandlers
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
+ {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} (Not verified) Sun Microsystems, Inc. c:\archivos de programa\openoffice.org 2.4\program\shlxthdl.dll
HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers
+ avast avast! Shell Extension (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashshell.dll
+ WinRAR c:\archivos de programa\winrar\rarext.dll
HKCU\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKCU\Software\Microsoft\Ctf\LangBarAddin
HKLM\Software\Microsoft\Ctf\LangBarAddin
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ avast avast! Shell Extension (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashshell.dll
+ Extensión de paneo de pantalla del Panel de control File not found: deskpan.dll
+ OpenOffice.org Column Handler (Not verified) Sun Microsystems, Inc. c:\archivos de programa\openoffice.org 2.4\program\shlxthdl.dll
+ OpenOffice.org Infotip Handler (Not verified) Sun Microsystems, Inc. c:\archivos de programa\openoffice.org 2.4\program\shlxthdl.dll
+ OpenOffice.org Property Sheet Handler (Not verified) Sun Microsystems, Inc. c:\archivos de programa\openoffice.org 2.4\program\shlxthdl.dll
+ OpenOffice.org Thumbnail Viewer (Not verified) Sun Microsystems, Inc. c:\archivos de programa\openoffice.org 2.4\program\shlxthdl.dll
+ TuneUp Shredder Shell Extension TuneUp Shredder Shellerweiterung (Verified) TuneUp Software GmbH c:\archivos de programa\tuneup utilities 2007\sdshelex-win32.dll
+ TuneUp Theme Extension TuneUp Designerweiterung (Verified) TuneUp Software GmbH c:\windows\system32\uxtuneup.dll
+ WinRAR shell extension c:\archivos de programa\winrar\rarext.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ Java(tm) Plug-In 2 SSV Helper Java(TM) Platform SE binary (Not verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre6\bin\jp2ssv.dll
+ Java(tm) Plug-In SSV Helper Java(TM) Platform SE binary (Verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre6\bin\ssv.dll
+ JQSIEStartDetectorImpl Class Java(TM) Quick Starter binary (Not verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions
Task Scheduler
+ Mantenimiento con 1 clic.job TuneUp System Optimizer (Verified) TuneUp Software GmbH c:\archivos de programa\tuneup utilities 2007\systemoptimizer.exe
HKLM\System\CurrentControlSet\Services
+ aawservice Ad-Aware service (Verified) Lavasoft AB c:\archivos de programa\lavasoft\ad-aware\aawservice.exe
+ aswUpdSv Brinda actualizaciones automáticas para el antivirus avast!. (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\aswupdsv.exe
+ avast! Antivirus Administra e implementa los servicios de antivirus avast! para este ordenador/computador/PC. Esto incluye protección residente, el baúl de virus y el programador de tareas. (Verified) ALWIL Software c:\archivos de programa\alwil software\avast4\ashserv.exe
+ JavaQuickStarterService Prefetches JRE files for faster startup of Java applets and applications (Verified) Sun Microsystems, Inc. c:\archivos de programa\java\jre6\bin\jqs.exe
+ UxTuneUp Permite la utilización de diseños sin la firma de Microsoft Visual Style. (Verified) TuneUp Software GmbH c:\windows\system32\uxtuneup.dll
HKLM\System\CurrentControlSet\Services
+ Aavmker4 avast! Base Kernel-Mode Device Driver for Windows NT/2000/XP (Verified) ALWIL Software c:\windows\system32\drivers\aavmker4.sys
+ ALCXWDM Avance AC'97 Audio Driver (WDM) (Not verified) Avance Logic, Inc. c:\windows\system32\drivers\alcxwdm.sys
+ Amps2prt A4Tech PS/2 Port Mouse Filter Driver (Not verified) A4Tech Co.,Ltd. c:\windows\system32\drivers\amps2prt.sys
+ aswFsBlk avast! mini-filter driver (aswFsBlk) (Verified) ALWIL Software c:\windows\system32\drivers\aswfsblk.sys
+ aswMon2 avast! File System Filter Driver for Windows XP (Verified) ALWIL Software c:\windows\system32\drivers\aswmon2.sys
+ aswRdr avast! TDI RDR Driver (Verified) ALWIL Software c:\windows\system32\drivers\aswrdr.sys
+ aswSP avast! self protection module (Verified) ALWIL Software c:\windows\system32\drivers\aswsp.sys
+ aswTdi avast! TDI Filter Driver (Verified) ALWIL Software c:\windows\system32\drivers\aswtdi.sys
+ Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys
+ i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys
+ lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys
+ PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys
+ PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys
+ PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys
+ PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys
+ PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys
+ SASDIFSV SASDIFSV.SYS (Verified) SuperAdBlocker.com c:\archivos de programa\superantispyware\sasdifsv.sys
+ SASENUM SASENUM.SYS (Verified) SuperAdBlocker.com c:\archivos de programa\superantispyware\sasenum.sys
+ SASKUTIL SASKUTIL.SYS (Verified) SuperAdBlocker.com c:\archivos de programa\superantispyware\saskutil.sys
+ SetupNT c:\windows\system32\setupnt.sys
+ WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
+ lsdelete (Verified) Lavasoft AB c:\windows\system32\lsdelete.exe
HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
HKLM\System\CurrentControlSet\Control\Session Manager\Execute
HKLM\System\CurrentControlSet\Control\Session Manager\S0InitialCommand
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Command Processor\Autorun
HKCU\Software\Microsoft\Command Processor\Autorun
HKCU\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ServiceControllerStart
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LsaStart
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
+ !SASWinLogon SUPERAntiSpyware WinLogon Processor (Not verified) SUPERAntiSpyware.com c:\archivos de programa\superantispyware\saswinlo.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKCU\Control Panel\Desktop\Scrnsave.exe
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImagePath
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SaveDumpStart
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
"La mayoría de la gente son otra gente. Sus pensamientos son la opinión de otros, sus vidas son una imitación, sus pasiones son una cita de otra persona".
Oscar Wilde
Avatar de Usuario
Turson
Esporádico
 
Mensajes: 37
Registrado: 17 May 2006 22:03
Ubicación: Colombia

Notapor Mr_X » 05 Dic 2008 05:43

Haz una copia de seguridad del registro de Windows con el ERUNT; deshabilita el 'Restaurar el sistema'; reinicia en Modo seguro, ejecuta el Autoruns, selecciona con el botón derecho la siguiente entrada y dale a 'Delete':

Código: Seleccionar todo
+ ic32pp c:\windows\wc98pp.dll

Reinicia normal, actualiza el Avast y el Spybot S&D y pásalos iniciando en Modo seguro... Saca nuevos logs...

Jesus is my girlfriend
Mr_X
Socio VIP
 
Mensajes: 2405
Registrado: 18 Sep 2005 06:54


Volver a Seguridad

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 2 invitados