Tema: NO se ejecuta el ad aware!! desaparece el programa
Ver Mensaje Individual
  #4 (permalink)  
Antiguo 06/10/2004, 08:08
Avatar de elpiedra
elpiedra
Colaborador
  
Fecha de Ingreso: febrero-2004
Ubicación: Miami <-> Uruguay
Mensajes: 2.447
Antigüedad: 20 años, 2 meses
Puntos: 13
Bueno veamos si lo podemos sacar a mano.

1- Apaga el Restaurar Sistema de las propiedades de MiPC

2- Reinicia el Pc pulsando F8 y pone en modo a prueba de fallos (seguro)

3- Con todos los programas cerrados le tiras el HJT y marca y dale Fix a estas casillas.

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=9
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://uurngw.outhost.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=9
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\WINDOWS\System32\esh9p3h.dll
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\xyn2czwtmihuzc.dll

Esto corresponde a un troyano Win32.Krepper.p en donde tenes dos entradas que eliminar iguales y al final te pongo las otras cosas que tenes que sacar del registro a mano.
O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
--------------------------------------------------------------------
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.new,Install
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {10003000-1000-0000-1000-000000000000} - http://213.159.118.226/x.exe

-------------------------------------------------------------------------
Para el troyano Win32.Krepper.p tambien tenes que buscar y eliminar lo siguente.

1- Entra en el registro de windows con el REGEDIT y con F3 busca y elimina estas entradas:
HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run\jopa
HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run\romahere
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\jopa
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run\romahere

2- Busca y elimina estos archivos
matrixhere.exe
sysstartup.exe
systemrmatrixhere.exe
sysstartup.exe
trojan.win32.krepper.p.dll
trojan.win32.krepper.p_(10).dll

3- Elimina cookies, historial y temporales de internet.

Reinicia el sistema en modo normal y repeti el proceso del HijackThis antes de conectar a internet para ver si no quedo nada y si lo hay eliminalo.

Reinicia nuevamente y despus nos contas los resultados.

Salu2
El Piedra
__________________
"Todos los Antivirus son buenos, hasta que se te infecta el PC"... xD

InfoSpyware.com | ForoSpyware.com
Última edición por elpiedra; 06/10/2004 a las 08:09