Archivo de busqueda

Foro referente al sistema operativo Windows XP
JuanRomero
Usuario linuxero
Usuario linuxero
Mensajes: 21
Registrado: 02 Abr 2008, 17:21
Contactar:

Re: Archivo de busqueda

Mensajepor JuanRomero » 26 Jun 2009, 19:20

Souto escribió:Pues entonces será mucho mejor empezar por el principio.
Pongamos que el título de tu tema era este "Equipo con comportamiento anómalo".
Mi respuesta sería esta:
Descarga de esta página
http://www.trendsecure.com/portal/en-US ... s/download
la aplicación "Trend Micro HijackThis". La instalas la ejecutas, pulsas sobre la pestaña "Do a system scan and save a logfile".
Rematada la comprobación, se abrirá un archivo de texto, lo seleccionas todo y lo pegas en este foro.


Saludos

JuanRomero escribió:
Souto escribió:
lo que me falta es el asistente

Esto, en mi modesta opinión, no tiene nada que ver con tu diagnóstico inicial y por lo tato, tampoco, con el tratamiento que pretendes aplicar.
Sí tiene mucho que ver con un Registro corrupto (probablemente por un virus)
Envio el Hij...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:15:22, on 26/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\AxBx\VirusKeeper 2006\VirusKeeper.exe
C:\Archivos de programa\HP\HP UT\bin\hppusg.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\TuneUp Utilities 2008\MemOptimizer.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Archivos comunes\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\juan\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe
C:\Archivos de programa\TuneUp Utilities 2008\OneClick.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\spoolsv.exe
C:\XAN\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7F3EA905-DE65-4D00-BC1F-FF3A77F8CA30} - C:\WINDOWS\system32\rqRLcATk.dll
O2 - BHO: (no name) - {aad9a8b6-f5e6-4e77-ad1f-d01df423a158} - C:\WINDOWS\system32\yoduvofa.dll (file missing)
O2 - BHO: (no name) - {BB4387AC-9E8B-4F9A-9A81-3258933C2266} - C:\WINDOWS\system32\mlJCVpPi.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VirusKeeper] C:\Archivos de programa\AxBx\VirusKeeper 2006\VirusKeeper.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HPUsageTracking] C:\Archivos de programa\HP\HP UT\bin\hppusg.exe "C:\Archivos de programa\HP\HP UT\"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [jeyohureka] Rundll32.exe "C:\WINDOWS\system32\muzurimo.dll",s
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Archivos de programa\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Mozilla Thunderbird] C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe -mail
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart
O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Windows Search.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\muzurimo.dll,C:\WINDOWS\system32\romarete.dll
O20 - Winlogon Notify: rqRLcATk - C:\WINDOWS\SYSTEM32\rqRLcATk.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACService.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Lavasoft Ad-Aware Service - Unknown owner - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6149 bytes

Este script de K. Korner, debiera resolverlo
Copia en bloc de notas el texto que más abajo te pongo en azul. Guárdalo en Escritorio con cualquier nombre (reparar, por ejemplo); pero antes de dar en Guardar como pulsa sobre Tipo para que en lugar de *.txt muestre Todos los archivos. Ahora, ya sí, lo guardas como reparar.vbs
Ratón derecho sobre ese archivo>>Abrir con símbolo de sistema, aceptas, reinicias el equipo y a ver si hubo suerte.


Option Explicit

Dim WSHShell, n, MyBox, p, itemtype, Title, vbdefaultbutton

Set WSHShell = WScript.CreateObject("WScript.Shell")
p = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState\"
p = p & "Use Search Asst"
itemtype = "REG_SZ"
n = "yes"

WSHShell.RegWrite p, n, itemtype
Title = "The Search Assistant is now disabled." & vbCR
Title = Title & "You may need to Log off/Log on" & vbCR
Title = Title & "For the change to take effect."
MyBox = MsgBox(Title,64,"Finished")

VisitKelly's Korner

Sub VisitKelly's Korner
If MsgBox("This script came from the Tweaks Section of Kelly's Korner" & vbCRLF & vbCRLF & "Would you like to visit Kelly's Web Site now?", vbQuestion + vbYesNo + vbDefaultButton, "Visit Kelly's Korner") =6 Then
wshshell.Run "http://www.kellys-korner-xp.com/xp_tweaks.htm"
End If
End Sub


.-Buenos dias,pues nada,ahora al acceder al simbolo del sistema me dice lo siguiente:"the search assitant is now disabled.You may need to log off/log on.For the change to take effect
Y para mas inri,ahora al reiniciar me sale esta otra leyenda "loading language failed" y le doy al OK y desparece

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: Archivo de busqueda

Mensajepor Souto » 26 Jun 2009, 19:43

En primer lugar una cuestión de procedimiento: cuando tengas que responder en el foro pulsa, por favor, sobre "Publicar respuesta". Haciéndolo con tantas citas, como lo vienes realizando hasta ahora, resulta muy incómodo para nosotros.

En cuanto al tema que nos ocupa: el sistema está de p. pena. Infectado hasta los tuétanos. Lo cual, por otra parte, no es de extrañar ya que no sólo no tiene instalado un antivirus de confianza, ni cortafuegos, sino que a mayor desgracia tiene instaladas falsas aplicaciones de seguridad. Si consigues desinfectarlo totalmente es probable que tengas que hacer una reinstalación en modo contextual. En fin, sin comentarios.

PRIMERO:
Ejecuta de nuevo HijackThis, pulsa sobre "Do a system scan only", marca las entradas problema y pulsa "Fix Checked" y una vez completado., reinicia el equipo.
Entradas problema:
O2 - BHO: (no name) - {7F3EA905-DE65-4D00-BC1F-FF3A77F8CA30} - C:\WINDOWS\system32\rqRLcATk.dll
O2 - BHO: (no name) - {BB4387AC-9E8B-4F9A-9A81-3258933C2266} - C:\WINDOWS\system32\mlJCVpPi.dll
O4 - HKLM\..\Run: [jeyohureka] Rundll32.exe "C:\WINDOWS\system32\muzurimo.dll",s
O4 - HKCU\..\Policies\Explorer\Run: [Windows Security Tool] WinSecure.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\muzurimo.dll,C:\WINDOWS\system32\romarete.dll
O20 - Winlogon Notify: rqRLcATk - C:\WINDOWS\SYSTEM32\rqRLcATk.dll

SEGUNDO:
Descarga la versión trial de Malwarebytes
http://www.malwarebytes.org/
y realiza un análisis completo del equipo (probablemente más de 2 horas)
Aquí tienes detallado, paso a paso, el proceso de instalación y la ejecución
http://www.forospyware.com/t161085.html
y repara las entradas "malignas"


Saludos
Qui dove il mare luccica e tira forte il vento

JuanRomero
Usuario linuxero
Usuario linuxero
Mensajes: 21
Registrado: 02 Abr 2008, 17:21
Contactar:

Re: Archivo de busqueda

Mensajepor JuanRomero » 26 Jun 2009, 21:43

Buenas noches,bien ante todo,pido disculpas,pues pensaba que "publicar respuesta" era para los asesores.
He impreso la utilizacion de Malwarebytes,instalado este y limpiado luego todo lo que encotro,que dice lo siguiente:
modulos en memoria infectados,3
claves del registro,idem,16
valores del registro,idem,4
elementos de datos del registro,4
ficheros infectados,66
Pues bien,o mejor dicho mal,ya que estoy usando un antivirus que compre y que parece que no trabaja alla muy bien,he de enviarle una nota de estas infecciones al vendedor,para que espabile,pues no creo que cuando sea hora,lo renueve y si,parece que seria bueno comprar este Malwarebytes,pero ahora tendra que esperar un poco.
El problema del asistente de busqueda,persiste,pero ya casi me dan ganas de no insistir mas,pues a veces,estas historias,son como la bola de nieve.
Gracias por su tiempo

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: Archivo de busqueda

Mensajepor Souto » 26 Jun 2009, 22:15

ya casi me dan ganas de no insistir mas,pues a veces,estas historias,son como la bola de nieve.

Es evidente que no eres novato manejando sistemas de Microsoft porque en esa frase sólo te faltó añadir

"ya casi me dan ganas de no insistir mas,pues a veces,estas historias,son como la bola de nieve...empiezan por una cosa sin importancia (falta no se qué) y tienes que acabar formateando" :roll:

Apoyo tu decisión. No obstante ya sabes que el troyano que tenías habrá dado más de un bocado al sistema, de manera que si otras cosas empiezan a fallarte, siempre te queda la opción de hacer una reinstalación contextual (segunda parte de este post)
reparar-windows-xp-t1231.html
el sistema quedará normofuncionante (quizá algo más lento en el arranque, en mi experiencia); si bien tiene el lado malo de que hay que volver a cargar todas las actualizaciones. En fin, que te queda esa bala en la recámara.

Gracias por su tiempo

No tienes que dar las gracias por esto. Aquí todos arrimamos el hombro de mil amores.
En tu caso, además, si tienes en cuenta que somos algo más que paisanos (aunque ahora ya no estoy por ahí, mis años escolares transcurrieron en el barrio de Teis) era obligado atenderte.

Cordiales saludos y hasta la próxima!!
Qui dove il mare luccica e tira forte il vento


Volver a “Windows XP / X64”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 2 invitados