Tema: ¿Virus, troyano, malware o spyware?

25/10/2007, 01:04

Buenas tengo instalado el Avast! totalmente gratuito y actualizado y no se como de repente me sale un tal programa: AVSystemCare que se me empieza a instalar y a bajarse sin mi permiso... ala por la puta cara...

Lo mas gracioso es que no me bajado nada, ni acepto cosas por el msn ni nada de nada... entonces como carajos se me mete??? el caso es que ahora el pc esta haciendo cosas raras... se me habren paginas por la cara y un sin fin de cosas...

¿Como lo soluciono?

saludos

25/10/2007, 11:52

He formateado y por ahora no ha vuelto a aparecer pero intrigado me encuentro cuando veo esto:

C:\Documents and Settings\Iñaki\Configuración local\Temp\_is105.exe

Lo veo extraño lo busco por internet y me encuentro esto:

http://spywarefiles.prevx.com/RRFDDJ272 ... 5.EXE.html

¿Otra vez estoy con la misma historia? ¿Como coño se cuela? no me meto en ninguna pagina, es mas acabo de formatear...

¿Es seguro ese archivo?

saludos

25/10/2007, 13:15

mmm se quiere bajar ese programa?
Lo que veo es un sinmple temporal que puedes borrar

25/10/2007, 13:23

Si el caso que formateo y el cabron empieza sale... no se..mmm...

Lo de la mierda de el avsystemcare ya lo elimine era malware/spyware pero lo solucione formateando

saludos

25/10/2007, 13:25

Aqui tienes el Log del hijackthis:

Iniciado por LOG

Logfile of HijackThis v1.99.1
Scan saved at 13:28:26, on 25/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\vsnpstd2.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Documents and Settings\Iñaki\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=3082
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [AAWTray] C:\Archivos de programa\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E610A3A0-3833-41AA-A042-4F00C2F3ACD4}: NameServer = 62.36.225.150 62.37.228.20
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

El _is105 lo elimine manualmente como me dijistes

saludos

25/10/2007, 13:31

Ahí, a ojo y sin buscar nada -corrígeme AcX si me equivoco- sólo veo "raro" esto:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

25/10/2007, 14:19

A ver k nos dice AngelCaidox...

saludos

25/10/2007, 15:06

Iniciado por Espi

Ahí, a ojo y sin buscar nada -corrígeme AcX si me equivoco- sólo veo "raro" esto:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

cierto esa entrada hay que borrar.

No hay resto del fichero ese temporal ni de ninguna entrada sospechosa 04 que llame a ese fichero.

Te sigue pasando lo mismo una vez borrado ese temporal?

25/10/2007, 15:09

No, Angelcaidox no me sigue llamando a _is105.exe ni me ha pasado lo de que se instale la mierda esa... formateee y me salio lo de el _is105..

¿Como borro esa entrada?

Saludos

25/10/2007, 15:11

marcandola con el tik y dando a fixed cheked que sale en negrita

pues si borrastes el fichero ya arreglastes el problema

25/10/2007, 20:01

Bueno te muestro lo que tengo en Temp y me digas si ves algo raro.

Otra cosa, las dos carpetas con muchos números no tienen ningún archivo dentro... y tengo que muestre archivos ocultos y del sistema...

Saludos

25/10/2007, 21:04

no tiene porque haber algo raro, es más no nada raro. Esa carpeta alberga temporales de programas en ejecución seguramente no te deje borrar algunos de esos ficheros porque estan siendo ejecutados en ese momento, muchos programas tiran de ellos.

25/10/2007, 22:08

Entonces perfecto, dejare esto abierto. Me suena que el problema ha venido del pc de mi novia... que ma dicho que tiene virus... y resulta que he cojido su camara digital que ha estado en contacto directo con su pc...

Saludos

26/10/2007, 12:32

Oye angel y esto no es nada raro: "O17 - HKLM\System\CCS\Services\Tcpip\..\{E610A3A0-3833-41AA-A042-4F00C2F3ACD4}: NameServer = 62.36.225.150 62.37.228.20 "

saludos

26/10/2007, 15:32

comprueba si corresponden a tus dns´s, si no lo son borra también esa entrada

26/10/2007, 15:35

¿Como se mira eso?

saludos

26/10/2007, 15:44

no sabes buscar los dns´s de tu conexión? juas xD :p

INICIO - ejecutar - cmd

ipconfig/all

y ahí te salen

26/10/2007, 15:48

Coincide

... ¬¬ no me acordaba...XDDD

Saludos

26/10/2007, 18:58

Este mensaje ha sido cerrado. Si tienes alguna duda del motivo, por favor escribe en nuestra rama de consultas.

Tema: ¿Virus, troyano, malware o spyware?

¿Virus, troyano, malware o spyware?

El tema ha sido cerrado.