Tema: Supongo q son CiD..

hola wenas, he estado leyendo lo de los cid y creo q ma pasa ami tb
cuando arranca el ordena se inician varios procesos de iexplorer solos y desparecen y vuelven a aparecer segun les de. e probado con el cclener a borrar todo y con el tuneup xo sigue iwal y el nod32 me dice q no encuentra nada dañino..
supongo q para solucionar el problema tngo q poner eso del HijackThis asiq aki esta

Logfile of HijackThis v1.99.1
Scan saved at 16:43:51, on 13/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\ASUS\PC Probe II\Probe2.exe
C:\Archivos de programa\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Program Files\eMule\emule.exe
C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe
C:\Archivos de programa\MultiKeyboard Driver\KbdDrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Archivos de programa\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [XboxStat] "c:\Archivos de programa\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKCU\..\Run: [AnyDVD] C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WindowBlinds] C:\Archivos de programa\Stardock\Object Desktop\WindowBlinds\WBInstall32.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Startup: MutiKeyboard Driver.lnk = C:\Archivos de programa\MultiKeyboard Driver\KbdDrv.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - Winlogon Notify: WBSrv - C:\ARCHIV~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

muxas gracias
un saludo

PD: yo uso firefox xo aora no me deja iniciarlo xq no es capaz de actualizar, puede ser debido a este problema tb?

pues siento decirte que no veo restos de las entradas que producen el CiD, estas bastante limpio no veo nada sospechoso, aunque puede que haya cosas que el hijackthis no muestre.

pasale este antivirus online y me pegas el reporte que te genera:

http://www.pandasoftware.es/productos/activescan.htm

con ese no lo e exo xq me daba un problema luego lo are, lo e exo con el kaspersky online y me a salio esto:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
martes, 14 de agosto de 2007 22:48:31
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.0
Ultima actualización: 14/08/2007
Registros en la base antivirus: 357573
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Áreas críticas:
C:\WINDOWS
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\

Estadísticas:
Número de objeros analizados: 12283
Virus encontrados: 2
Objetos infectados: 7 / 0
Objetos sospechosos: 0
Duración del análisis: 00:05:25

Nombre del objeto infectado / Nombre del virus / Última acción
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\exefnd\14471078.exe Infectados: Email-Worm.Win32.Bagle.iv saltado
C:\WINDOWS\exefnd\58468.exe Infectados: Email-Worm.Win32.Bagle.iv saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado
C:\WINDOWS\system32\config\OSession.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox.dat Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox.idx Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked saltado
C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked saltado
C:\WINDOWS\system32\drivers\pci32.sys Infectados: Email-Worm.Win32.Bagle.iv saltado
C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Perflib_Perfdat a_190.dat Object is locked saltado
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\~3E7.exe Infectados: Email-Worm.Win32.Bagle.iu saltado
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\~3E8.exe Infectados: Email-Worm.Win32.Bagle.iu saltado
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\~3EA.exe Infectados: Email-Worm.Win32.Bagle.iu saltado
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\~3EB.exe Infectados: Email-Worm.Win32.Bagle.iu saltado
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\~DF8BFF.tmp Object is locked saltado
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\~DF8D13.tmp Object is locked saltado
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\~DF9FFD.tmp Object is locked saltado
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\~DFA409.tmp Object is locked saltado

Análisis completado.


muxas gracias, un saludo

Reinicia en modo a prueba de fallos localiza y borra los siguientes ficheros:

C:\WINDOWS\exefnd\14471078.exe
C:\WINDOWS\exefnd\58468.exe
C:\WINDOWS\system32\drivers\pci32.sys


Localiza la siguientes carpeta y borra todo su contenido

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\



Reinicia en modo normal y vuelve a pasar el online y me pegas un nuevo reporte

tngo un problema: no me deja iniciar en modo seguro, se ve como carga los arxivos y eso xo cuando sale la opcion de cancelar pulsando esc la pantalla se keda sin señal y se reinicia...

saludos y muxas gracias x tu tiempo

Prueba a borrarlos de manera normal en windows

me a dejado borrar todos menos estos arxivos de la carpeta temp
http://img49.imageshack.us/img49/6748/dibujopt5.jpg

saludos

muxas gracias x ayudarme xo e decidido formatear que seguro q se kita todo jejeje
ya tngo guardados los datos y todo y a pegarle una superlimpieza... jeje
con q programa me aconsejas formatear lo digo para acer un formateo a fondo

muxas gracias un saludo

con el propio cd de windows, inicias desde el CD borras la antigua particion, das un formateo NTFS para dar formato a la nueva partición y luego instalas el windows xp en esa partición desde el cd de windows.

es lo q ago siempre era por si habia otro programa mejor para hacerlo xo da mas o menos iwal no? jeje

gracias, un saludo

si, es lo mismo, el resutaldo siempre será borrar la particion, crear una nueva, darla formato e instalar el xp en dicha partición