HOLA A TODOS:
Tengo un problema con un virus que cada vez que abro el internet explorer, el panda antivirus me manda dos ventanas consecutivas con los mensajes siguientes:
- Intento de modificación de HKEK_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHURL\PROVIDER
- Intento de modificación de REGISTRY\USER\S-1-5-21-1708537768-796845957-725345543-1003\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHURL\PROVIDER
Ya le di formato a mi máquina, le volví a instalar Windows XP y el panda antivirus, actualicé ambos, pero el problema persiste.
También le apliqué a mi PC el procedimiento siguiente que encontré en otro sitio, pero el problema continua.
-------------------------------------------------------------------------------------------------------------------------------
Pasa a tu ordenador tu antivirus (o uno online: Panda Activescan ; ESET Online Scanner;
F-Secure Online Scanner ; Kaspersky Online Scanner ) y los siguientes programas actualizados y en modo a prueba de fallos:
SUPERAntiSpyware Free
Ad-Aware 2008 Free
Dr.Web CureIt! 4.44
Killbox
El Ad-Aware pásalo con la opción Full Scan
Limpia el ordenador de archivos y entradas de registro innecesarias con el CCleaner y el Regseeker.
Y si aún así no has solucionado el problema el Trend Micro HijackThis
En este último programa debes de hacer lo siguiente:
1.- Descarga e instala el programa
2.- En Modo normal haz doble clic en dicho archivo
3.- Selecciona la opción do a system scan and save logfile
4.- Se abrirá una ventana y el bloc de notas. Pega el contenido de este último aquí (en este mismo post) para que podamos revisarlo.
--------------------------------------------------------------------------------------------------------------
Esto es lo que me arrojó el hihackthis:
--------------------------------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:38:53, on 19/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Telmex\Antivirus Infinitum\PsCtrls.exe
C:\Archivos de programa\Telmex\Antivirus Infinitum\PavFnSvr.exe
C:\Archivos de programa\Telmex\Antivirus Infinitum\PsImSvc.exe
C:\Archivos de programa\Telmex\Antivirus Infinitum\PskSvc.exe
C:\Archivos de programa\Telmex\Antivirus Infinitum\TPSrv.exe
C:\Archivos de programa\Telmex\Antivirus Infinitum\pavsrv51.exe
C:\Archivos de programa\Telmex\Antivirus Infinitum\AVENGINE.EXE
C:\ARCHIVOS DE PROGRAMA\TELMEX\ANTIVIRUS INFINITUM\WebProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Telmex\Antivirus Infinitum\ApVxdWin.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
https://login.yahoo.com/config/mail?.src=ym&.intl=mxR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://windowsupdate.microsoft.com/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Telmex\Antivirus Infinitum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Telmex\Antivirus Infinitum\Inicio.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1266545516599O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} -
http://download.eset.com/special/eos/OnlineScanner.cabO23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Archivos de programa\Telmex\Antivirus Infinitum\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Archivos de programa\Telmex\Antivirus Infinitum\PavFnSvr.exe
O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Archivos de programa\Telmex\Antivirus Infinitum\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Archivos de programa\Telmex\Antivirus Infinitum\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Archivos de programa\Telmex\Antivirus Infinitum\PskSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Archivos de programa\Telmex\Antivirus Infinitum\TPSrv.exe
--
End of file - 5437 bytes
---------------------------------------------------------------------------------------------
Continuando le pasé el CD de rescate de avira y no detecta nada.
Por último le pasé el antirootkit de avira y como pueden apreciar en la imagen siguiente que esta sobrepuesta, hay un momento en que el análisis tarda y en ese preciso momento aparece una línea que dice c:\recycler\S-1-5-21-1708537768-796845957-725345543-1003, la cual una parte es identica a la segunda ventana que me arroja el panda antivirus.
http://sabueso.netne.net/avira_panda.jpg Les agradeceré sus comentarios respecto a si realmente es un virus y en caso afirmativo que debo hacer.
Dilber MC Theme by HarzeM