10 respuestas
Hola,
Ya deberías eliminar Norton, un verdadero colador.
Personalmente, tengo Avast! Pero puedes elegir, ve por allí ::
http://sebsauvage.net/
A=
--
-----no sé qué hacer---mala experiencia---
Ya deberías eliminar Norton, un verdadero colador.
Personalmente, tengo Avast! Pero puedes elegir, ve por allí ::
http://sebsauvage.net/
A=
--
-----no sé qué hacer---mala experiencia---
Bueno, en realidad mi antivirus habitual es AVG, pero como no me detectó el pokatruc, hice un intento con Norton...
Pero lo que me gustaría resolver es más esta historia de waxw2k.dll ;) (aunque no soy un gran fan de IE, sigue siendo práctico, y además es sobre todo para Express..)
De todas formas, echaré un vistazo a tu enlace :)
Pero lo que me gustaría resolver es más esta historia de waxw2k.dll ;) (aunque no soy un gran fan de IE, sigue siendo práctico, y además es sobre todo para Express..)
De todas formas, echaré un vistazo a tu enlace :)
Hola,
Tengo el mismo problema.
En XP Pro.
Internet Explorer y Outlook Express: tan pronto como abro un sitio en IE o intento abrir un correo que contenga HTML, la aplicación se cierra con el mensaje de error "iexplorer.exe ha tenido que cerrarse, etc..."
Lo mismo con Windows Media Player.
De hecho, todo lo que requiere acceso a HTML.
Pues, Outlook funciona (tengo conexión) si son mensajes de texto y se cierra tan pronto como es un mensaje HTML.
Sin embargo, Netscape que aún tengo en mi disco duro funciona (de hecho, estoy escribiendo desde ahí).
AVAST: nada
ANTIVIR: nada.
Tengo el registro de errores: "Aplicación con fallos msimn.exe, versión 6.0.2600.0, módulo con fallos waxw2k.dll, versión 0.0.0.0, dirección del fallo 0x00002200."
Lo mismo con IEplorer.
He intentado Winsockfix: no ha servido de nada :-((
¿Tendrías la solución?
Tengo el mismo problema.
En XP Pro.
Internet Explorer y Outlook Express: tan pronto como abro un sitio en IE o intento abrir un correo que contenga HTML, la aplicación se cierra con el mensaje de error "iexplorer.exe ha tenido que cerrarse, etc..."
Lo mismo con Windows Media Player.
De hecho, todo lo que requiere acceso a HTML.
Pues, Outlook funciona (tengo conexión) si son mensajes de texto y se cierra tan pronto como es un mensaje HTML.
Sin embargo, Netscape que aún tengo en mi disco duro funciona (de hecho, estoy escribiendo desde ahí).
AVAST: nada
ANTIVIR: nada.
Tengo el registro de errores: "Aplicación con fallos msimn.exe, versión 6.0.2600.0, módulo con fallos waxw2k.dll, versión 0.0.0.0, dirección del fallo 0x00002200."
Lo mismo con IEplorer.
He intentado Winsockfix: no ha servido de nada :-((
¿Tendrías la solución?
hola
intenta esto
haz clic en iniciar/ejecutar y escribe cmd
luego copia y pega esto en la ventana que se abrió
netsh winsock reset catalog
reinicia
si no cambia nada
descarga esto
descarga esto
http://www.downloads.subratam.org/l2mfix.exe
descomprime, haz doble clic en l2mfix.bat, presiona cualquier tecla y luego elige la opción 1
espera, hará un informe, haz un copiar y pegar de eso
no hagas nada más
--
la caza y el tiro al plato son mi verdadera pasión
ver página personal en el perfil
intenta esto
haz clic en iniciar/ejecutar y escribe cmd
luego copia y pega esto en la ventana que se abrió
netsh winsock reset catalog
reinicia
si no cambia nada
descarga esto
descarga esto
http://www.downloads.subratam.org/l2mfix.exe
descomprime, haz doble clic en l2mfix.bat, presiona cualquier tecla y luego elige la opción 1
espera, hará un informe, haz un copiar y pegar de eso
no hagas nada más
--
la caza y el tiro al plato son mi verdadera pasión
ver página personal en el perfil
De nuevo yo,
Estoy ausente una semana, así que nada es urgente, pero es molesto.
También adjunto el archivo og de HijackThis v1.99.1
Escaneo guardado a las 00:30:52, el 22/10/2005
Plataforma: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Procesos en ejecución:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Program Files\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Archivos comunes\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\mHotkey.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Archivos comunes\Symantec Shared\ccApp.exe
C:\Program Files\Archivos comunes\Real\Update_OB\realsched.exe
C:\Program Files\ATI Multimedia\main\launchpd.exe
C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\WINDOWS\System32\rundll32.exe
D:\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Netscape\Communicator\Program\netscape.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Philippe M\Mis documentos\philippe.mallard\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://abonnes.lemonde.fr/web/sequence/0,2-3208,1-0,0.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.fr"); (C:\Program Files\Netscape\Users\default\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (sin nombre) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - Inicio global: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Inicio global: Adobe Gamma Loader.lnk = C:\Program Files\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Inicio global: hp psc 2000 Series.lnk = D:\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Inicio global: hpoddt01.exe.lnk = ?
O4 - Inicio global: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Elemento extra de menú contextual: &Descargar con NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Elemento extra de menú contextual: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Elemento extra de menú contextual: Descargar to&do con NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Botón extra: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Botón extra: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Botón extra: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (archivo faltante) (HKCU)
O20 - Winlogon Notify: waxw2k - C:\WINDOWS\SYSTEM32\waxw2k.dll
O23 - Servicio: Adobe LM Service - Propietario desconocido - C:\Program Files\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Servicio: ATI Smart - Propietario desconocido - C:\WINDOWS\system32\ati2sgag.exe
O23 - Servicio: Actualización de AntiVir (AVWUpSrv) - H+BEDV Datentechnik GmbH, Alemania - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Servicio: Administrador de eventos de Symantec (ccEvtMgr) - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Servicio: Proxy de red de Symantec (ccProxy) - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Servicio: Validación de contraseña de Symantec (ccPwdSvc) - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Servicio: Administrador de configuraciones de Symantec (ccSetMgr) - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Servicio: Servicio de licencias de Macromedia - Propietario desconocido - C:\Program Files\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Servicio: Controlador Pml HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Servicio: Protocolo IP V4 RunTime - Propietario desconocido - C:\WINDOWS\System32\SVCIPV4.EXE (archivo faltante)
O23 - Servicio: Servicio de controladores de red de Symantec (SNDSrvc) - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Servicio: Núcleo de Symantec LC - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Servicio: Servicio de lanzamiento de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
O23 - Servicio: Servicio de red de dispositivos X10 (x10nets) - Propietario desconocido - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (archivo faltante)
Estoy ausente una semana, así que nada es urgente, pero es molesto.
También adjunto el archivo og de HijackThis v1.99.1
Escaneo guardado a las 00:30:52, el 22/10/2005
Plataforma: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Procesos en ejecución:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Program Files\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Archivos comunes\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\mHotkey.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Archivos comunes\Symantec Shared\ccApp.exe
C:\Program Files\Archivos comunes\Real\Update_OB\realsched.exe
C:\Program Files\ATI Multimedia\main\launchpd.exe
C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\WINDOWS\System32\rundll32.exe
D:\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Netscape\Communicator\Program\netscape.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Philippe M\Mis documentos\philippe.mallard\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://abonnes.lemonde.fr/web/sequence/0,2-3208,1-0,0.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.fr"); (C:\Program Files\Netscape\Users\default\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (sin nombre) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - Inicio global: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Inicio global: Adobe Gamma Loader.lnk = C:\Program Files\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Inicio global: hp psc 2000 Series.lnk = D:\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Inicio global: hpoddt01.exe.lnk = ?
O4 - Inicio global: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Elemento extra de menú contextual: &Descargar con NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Elemento extra de menú contextual: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Elemento extra de menú contextual: Descargar to&do con NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Botón extra: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Botón extra: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Botón extra: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (archivo faltante) (HKCU)
O20 - Winlogon Notify: waxw2k - C:\WINDOWS\SYSTEM32\waxw2k.dll
O23 - Servicio: Adobe LM Service - Propietario desconocido - C:\Program Files\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Servicio: ATI Smart - Propietario desconocido - C:\WINDOWS\system32\ati2sgag.exe
O23 - Servicio: Actualización de AntiVir (AVWUpSrv) - H+BEDV Datentechnik GmbH, Alemania - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Servicio: Administrador de eventos de Symantec (ccEvtMgr) - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Servicio: Proxy de red de Symantec (ccProxy) - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\ccProxy.exe
O23 - Servicio: Validación de contraseña de Symantec (ccPwdSvc) - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Servicio: Administrador de configuraciones de Symantec (ccSetMgr) - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Servicio: Servicio de licencias de Macromedia - Propietario desconocido - C:\Program Files\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Servicio: Controlador Pml HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Servicio: Protocolo IP V4 RunTime - Propietario desconocido - C:\WINDOWS\System32\SVCIPV4.EXE (archivo faltante)
O23 - Servicio: Servicio de controladores de red de Symantec (SNDSrvc) - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Servicio: Núcleo de Symantec LC - Symantec Corporation - C:\Program Files\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Servicio: Servicio de lanzamiento de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
O23 - Servicio: Servicio de red de dispositivos X10 (x10nets) - Propietario desconocido - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (archivo faltante)
relanza l2mfix y haz clic en l2mfix.bat y esta vez haz clic en la opción 2 y deja que lo haga y ponme el informe y un
nuevo informe hijack
--
la caza y el tiro al plato son mi verdadera pasión
ver el sitio personal en el perfil
nuevo informe hijack
--
la caza y el tiro al plato son mi verdadera pasión
ver el sitio personal en el perfil
Aquí tienes la traducción:
Voilà,
ha reiniciado. Te pongo el Log de L2Mfix y luego Hijack.
Gracias por la información.
En una hora me voy por las carreteras durante una semana....
retomaré el hilo después...
Directorio de configuración
C:\
C:\
¡Sistema reiniciado!
Ejecutando desde:
C:\
cerrando explorer y rundll32.exe
Visor/Killer/Suspensor de procesos de línea de comandos para Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Matando PID 1620 'explorer.exe'
Visor/Killer/Suspensor de procesos de línea de comandos para Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Matando PID 1836 'rundll32.exe'
Escaneando Primera Pasada. ¡Por favor espere!
Primera Pasada Completada
Escaneo de Segunda Pasada
¡Segunda pasada completada!
Comprimiendo archivos para envío:
añadiendo: clear.reg (188 bytes de seguridad) (deflaccionado 2%)
añadiendo: boot.ini (124 bytes de seguridad) (deflaccionado 30%)
añadiendo: lo2.txt (188 bytes de seguridad) (deflaccionado 51%)
añadiendo: test.txt (188 bytes de seguridad) (almacenado 0%)
añadiendo: test2.txt (188 bytes de seguridad) (almacenado 0%)
añadiendo: test3.txt (188 bytes de seguridad) (almacenado 0%)
añadiendo: test5.txt (188 bytes de seguridad) (almacenado 0%)
añadiendo: xscan.txt (188 bytes de seguridad) (deflaccionado 94%)
Restaurando permisos del Registro:
RegDACL 5.1 - Gestor de permisos para claves de registro para Windows NT 4 y superiores
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
¡Este programa es freeware, úsalo bajo tu propio riesgo!
Revocando acceso para grupo predefinido "Administradores"
¡No se puede revocar ACE heredado aquí!
¡No se puede revocar ACE heredado aquí!
Permisos del registro configurados también:
RegDACL 5.1 - Gestor de permisos para claves de registro para Windows NT 4 y superiores
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
¡Este programa es freeware, úsalo bajo tu propio riesgo!
Lista de Control de Acceso para la clave de Registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) PERMITIR Leer BUILTIN\Usuarios
(ID-IO) PERMITIR Leer BUILTIN\Usuarios
(ID-NI) PERMITIR Leer BUILTIN\Usuarios con poder
(ID-IO) PERMITIR Leer BUILTIN\Usuarios con poder
(ID-NI) PERMITIR Acceso total BUILTIN\Administradores
(ID-IO) PERMITIR Acceso total BUILTIN\Administradores
(ID-NI) PERMITIR Acceso total AUTORIDAD NT\SISTEMA
(ID-IO) PERMITIR Acceso total AUTORIDAD NT\SISTEMA
(ID-IO) PERMITIR Acceso total CREADOR PROPIETARIO
Restaurando SeDebugprivilege:
Concediendo SeDebugPrivilege a Administradores ... fallido (GetAccountSid(Administrators)=1332
Restaurando Certificados de Actualización de Windows.:
La siguiente es la Exportación Actual de la clave de notificación de Winlogon:
****************************************************************************
Editor del Registro de Windows Versión 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\waxw2k]
"DllName"=hex(2):77,00,61,00,78,00,77,00,32,00,6b,00,2e,00,64,00,6c,00,6c,00,\
00,00
"Startup"="waxw2k"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001
"key4"="[442695539247[Philippe M]"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000
Los siguientes son los archivos encontrados:
****************************************************************************
Entradas del Registro que fueron eliminadas:
Por favor verifica que la lista luzca correcta.
Si hubo algo eliminado incorrectamente hay copias de seguridad en la carpeta backreg.
****************************************************************************
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
****************************************************************************
Contenido de Desktop.ini:
****************************************************************************
****************************************************************************
-------------
--------------
y el LOG Hijack
Archivo de registro de HijackThis v1.99.1
Escaneo guardado a la 01:17:50, del 22/10/2005
Plataforma: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Procesos en ejecución:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Netscape\Communicator\Program\netscape.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Philippe M\Mis documentos\philippe.mallard\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Página de inicio = http://abonnes.lemonde.fr/web/sequence/0,2-3208,1-0,0.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Página de inicio =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,Asistente de búsqueda =
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.fr"); (C:\Program Files\Netscape\Users\default\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (sin nombre) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Barra de herramientas: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Ejecutar: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Ejecutar: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Ejecutar: [CHotkey] mHotkey.exe
O4 - HKLM\..\Ejecutar: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Ejecutar: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Ejecutar: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Ejecutar: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Ejecutar: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Ejecutar: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Ejecutar: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Ejecutar: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Ejecutar: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Ejecutar: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Ejecutar: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Ejecutar: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - Inicio Global: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Inicio Global: Cargador de Gamma de Adobe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Inicio Global: hp psc 2000 Series.lnk = D:\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Inicio Global: hpoddt01.exe.lnk = ?
O4 - Inicio Global: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Elemento de menú contextual extra: &Descargar con NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Elemento de menú contextual extra: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Elemento de menú contextual extra: Todo t&elecharger con NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Botón extra: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Botón extra: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Botón extra: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (archivo faltante) (HKCU)
O20 - Winlogon Notify: waxw2k - C:\WINDOWS\SYSTEM32\waxw2k.dll
O23 - Servicio: Adobe LM Service - Propietario desconocido - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Servicio: ATI Smart - Propietario desconocido - C:\WINDOWS\system32\ati2sgag.exe
O23 - Servicio: Actualización AntiVir (AVWUpSrv) - H+BEDV Datentechnik GmbH, Alemania - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Servicio: Gestor de Eventos Symantec (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Servicio: Proxy de Red Symantec (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Servicio: Validación de Contraseña Symantec (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Servicio: Gestor de Configuración Symantec (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Servicio: Servicio de Licenciamiento de Macromedia - Propietario desconocido - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Servicio: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Servicio: Ejecución de Protocolo IP V4 - Propietario desconocido - C:\WINDOWS\System32\SVCIPV4.EXE (archivo faltante)
O23 - Servicio: Servicio de Controladores de Red Symantec (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Servicio: Núcleo de Symantec - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Servicio: Servicio de Lanzamiento de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
O23 - Servicio: Red de Dispositivos X10 (x10nets) - Propietario desconocido - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (archivo faltante)
ha reiniciado. Te pongo el Log de L2Mfix y luego Hijack.
Gracias por la información.
En una hora me voy por las carreteras durante una semana....
retomaré el hilo después...
Directorio de configuración
C:\
C:\
¡Sistema reiniciado!
Ejecutando desde:
C:\
cerrando explorer y rundll32.exe
Visor/Killer/Suspensor de procesos de línea de comandos para Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Matando PID 1620 'explorer.exe'
Visor/Killer/Suspensor de procesos de línea de comandos para Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Matando PID 1836 'rundll32.exe'
Escaneando Primera Pasada. ¡Por favor espere!
Primera Pasada Completada
Escaneo de Segunda Pasada
¡Segunda pasada completada!
Comprimiendo archivos para envío:
añadiendo: clear.reg (188 bytes de seguridad) (deflaccionado 2%)
añadiendo: boot.ini (124 bytes de seguridad) (deflaccionado 30%)
añadiendo: lo2.txt (188 bytes de seguridad) (deflaccionado 51%)
añadiendo: test.txt (188 bytes de seguridad) (almacenado 0%)
añadiendo: test2.txt (188 bytes de seguridad) (almacenado 0%)
añadiendo: test3.txt (188 bytes de seguridad) (almacenado 0%)
añadiendo: test5.txt (188 bytes de seguridad) (almacenado 0%)
añadiendo: xscan.txt (188 bytes de seguridad) (deflaccionado 94%)
Restaurando permisos del Registro:
RegDACL 5.1 - Gestor de permisos para claves de registro para Windows NT 4 y superiores
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
¡Este programa es freeware, úsalo bajo tu propio riesgo!
Revocando acceso para grupo predefinido "Administradores"
¡No se puede revocar ACE heredado aquí!
¡No se puede revocar ACE heredado aquí!
Permisos del registro configurados también:
RegDACL 5.1 - Gestor de permisos para claves de registro para Windows NT 4 y superiores
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
¡Este programa es freeware, úsalo bajo tu propio riesgo!
Lista de Control de Acceso para la clave de Registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) PERMITIR Leer BUILTIN\Usuarios
(ID-IO) PERMITIR Leer BUILTIN\Usuarios
(ID-NI) PERMITIR Leer BUILTIN\Usuarios con poder
(ID-IO) PERMITIR Leer BUILTIN\Usuarios con poder
(ID-NI) PERMITIR Acceso total BUILTIN\Administradores
(ID-IO) PERMITIR Acceso total BUILTIN\Administradores
(ID-NI) PERMITIR Acceso total AUTORIDAD NT\SISTEMA
(ID-IO) PERMITIR Acceso total AUTORIDAD NT\SISTEMA
(ID-IO) PERMITIR Acceso total CREADOR PROPIETARIO
Restaurando SeDebugprivilege:
Concediendo SeDebugPrivilege a Administradores ... fallido (GetAccountSid(Administrators)=1332
Restaurando Certificados de Actualización de Windows.:
La siguiente es la Exportación Actual de la clave de notificación de Winlogon:
****************************************************************************
Editor del Registro de Windows Versión 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\waxw2k]
"DllName"=hex(2):77,00,61,00,78,00,77,00,32,00,6b,00,2e,00,64,00,6c,00,6c,00,\
00,00
"Startup"="waxw2k"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001
"key4"="[442695539247[Philippe M]"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000
Los siguientes son los archivos encontrados:
****************************************************************************
Entradas del Registro que fueron eliminadas:
Por favor verifica que la lista luzca correcta.
Si hubo algo eliminado incorrectamente hay copias de seguridad en la carpeta backreg.
****************************************************************************
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
****************************************************************************
Contenido de Desktop.ini:
****************************************************************************
****************************************************************************
-------------
--------------
y el LOG Hijack
Archivo de registro de HijackThis v1.99.1
Escaneo guardado a la 01:17:50, del 22/10/2005
Plataforma: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Procesos en ejecución:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Netscape\Communicator\Program\netscape.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Philippe M\Mis documentos\philippe.mallard\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Página de inicio = http://abonnes.lemonde.fr/web/sequence/0,2-3208,1-0,0.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Página de inicio =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,Asistente de búsqueda =
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.fr"); (C:\Program Files\Netscape\Users\default\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (sin nombre) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Barra de herramientas: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Ejecutar: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Ejecutar: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Ejecutar: [CHotkey] mHotkey.exe
O4 - HKLM\..\Ejecutar: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Ejecutar: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Ejecutar: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Ejecutar: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Ejecutar: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Ejecutar: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Ejecutar: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Ejecutar: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Ejecutar: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Ejecutar: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Ejecutar: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Ejecutar: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - Inicio Global: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Inicio Global: Cargador de Gamma de Adobe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Inicio Global: hp psc 2000 Series.lnk = D:\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Inicio Global: hpoddt01.exe.lnk = ?
O4 - Inicio Global: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Elemento de menú contextual extra: &Descargar con NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Elemento de menú contextual extra: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Elemento de menú contextual extra: Todo t&elecharger con NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Botón extra: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Botón extra: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Botón extra: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (archivo faltante) (HKCU)
O20 - Winlogon Notify: waxw2k - C:\WINDOWS\SYSTEM32\waxw2k.dll
O23 - Servicio: Adobe LM Service - Propietario desconocido - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Servicio: ATI Smart - Propietario desconocido - C:\WINDOWS\system32\ati2sgag.exe
O23 - Servicio: Actualización AntiVir (AVWUpSrv) - H+BEDV Datentechnik GmbH, Alemania - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Servicio: Gestor de Eventos Symantec (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Servicio: Proxy de Red Symantec (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Servicio: Validación de Contraseña Symantec (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Servicio: Gestor de Configuración Symantec (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Servicio: Servicio de Licenciamiento de Macromedia - Propietario desconocido - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Servicio: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Servicio: Ejecución de Protocolo IP V4 - Propietario desconocido - C:\WINDOWS\System32\SVCIPV4.EXE (archivo faltante)
O23 - Servicio: Servicio de Controladores de Red Symantec (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Servicio: Núcleo de Symantec - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Servicio: Servicio de Lanzamiento de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
O23 - Servicio: Red de Dispositivos X10 (x10nets) - Propietario desconocido - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (archivo faltante)
¿Puedes analizar este archivo
C:\WINDOWS\System32\SVCIPV4.EXE
23 editor de antivirus
http://www.virustotal.com/xhtml/virustotal_en.html
haz clic en examinar, localiza el archivo y haz clic en enviar, espera el informe
y danos el
--
la caza y el tiro al plato son mi verdadera pasión
ver sitio personal en el perfil
C:\WINDOWS\System32\SVCIPV4.EXE
23 editor de antivirus
http://www.virustotal.com/xhtml/virustotal_en.html
haz clic en examinar, localiza el archivo y haz clic en enviar, espera el informe
y danos el
--
la caza y el tiro al plato son mi verdadera pasión
ver sitio personal en el perfil
Hola,
De vuelta....
Bueno, sigo teniendo este problema:
Todo acceso a internet provoca que las aplicaciones se bloqueen: IE, Outlook cuando un mensaje contiene .html, WMP, etc...
Quise escanear SVCIPV4.EXE pero no lo encuentro en system32
Hice una búsqueda automática: RAS.
Por otro lado, estoy usando un viejo Netscape Navigator ya que IE se bloquea y no puede mostrar la página:
http://www.virustotal.com/xhtml/virustotal_en.html
Estoy atrapado.
Gracias por su ayuda..
De vuelta....
Bueno, sigo teniendo este problema:
Todo acceso a internet provoca que las aplicaciones se bloqueen: IE, Outlook cuando un mensaje contiene .html, WMP, etc...
Quise escanear SVCIPV4.EXE pero no lo encuentro en system32
Hice una búsqueda automática: RAS.
Por otro lado, estoy usando un viejo Netscape Navigator ya que IE se bloquea y no puede mostrar la página:
http://www.virustotal.com/xhtml/virustotal_en.html
Estoy atrapado.
Gracias por su ayuda..
descarga: process xp aquí:
http://www.sysinternals.com/files/procexpnt.zip
descomprime
Desconéctate
Cierra todos los programas
haz doble clic en processxp.exe
* En la ventana principal de processxp, haz doble clic en winlogon.exe
En la nueva ventana que se abre, haz clic en hilos
selecciona solo las líneas que contengan waxw2k.dll y luego haz clic en kill para cada una de las líneas encontradas.
una vez hecho, confirma con ok
* En la ventana principal de processxp, haz doble clic en explorer.exe
En la nueva ventana que se abre, haz clic en hilos
selecciona solo las líneas que contengan waxw2k.dll y luego haz clic en kill para cada una de las líneas encontradas.
una vez hecho, confirma con ok
► reinicia hijack, marca estas líneas y luego haz clic en fix
O20 - Winlogon Notify: waxw2k - C:\WINDOWS\SYSTEM32\waxw2k.dll
****************************************************************
►
****************************************************************
► reinicia en modo seguro
modo seguro, para eso presiona la tecla f8
desde el inicio del encendido del pc sin detenerte
una ventana se abrirá, muévete con las flechas del teclado hasta iniciar en modo seguro
una vez en el escritorio, no habrá todos los colores y demás, es normal. si f8 no funciona, utiliza la tecla f5
****************************************************************
► busca y elimina esto
C:\WINDOWS\SYSTEM32\waxw2k.dll
--
la caza y el tiro al plato son mi verdadera pasión
ver página personal en el perfil
http://www.sysinternals.com/files/procexpnt.zip
descomprime
Desconéctate
Cierra todos los programas
haz doble clic en processxp.exe
* En la ventana principal de processxp, haz doble clic en winlogon.exe
En la nueva ventana que se abre, haz clic en hilos
selecciona solo las líneas que contengan waxw2k.dll y luego haz clic en kill para cada una de las líneas encontradas.
una vez hecho, confirma con ok
* En la ventana principal de processxp, haz doble clic en explorer.exe
En la nueva ventana que se abre, haz clic en hilos
selecciona solo las líneas que contengan waxw2k.dll y luego haz clic en kill para cada una de las líneas encontradas.
una vez hecho, confirma con ok
► reinicia hijack, marca estas líneas y luego haz clic en fix
O20 - Winlogon Notify: waxw2k - C:\WINDOWS\SYSTEM32\waxw2k.dll
****************************************************************
►
****************************************************************
► reinicia en modo seguro
modo seguro, para eso presiona la tecla f8
desde el inicio del encendido del pc sin detenerte
una ventana se abrirá, muévete con las flechas del teclado hasta iniciar en modo seguro
una vez en el escritorio, no habrá todos los colores y demás, es normal. si f8 no funciona, utiliza la tecla f5
****************************************************************
► busca y elimina esto
C:\WINDOWS\SYSTEM32\waxw2k.dll
--
la caza y el tiro al plato son mi verdadera pasión
ver página personal en el perfil