Versión Completa : Mensaje de error mcafee32.exe y no se abre regedit y msconfig
holly_flor
junio 3, 2008, 06:17
Estoy intentando arreglar la compu de una amiga y no puedo encontrar la solucion. Cada vez que inicia la pc o hace cualquier cosa aparece un mensaje que dice que no encuentra el archivo mcafee32.exe
Se me ocurrio deshabilitarlo del inicio entrando a msconfig o eliminarlo del registro y ahi me encontre con que cuando quiero entrar a msconfig y regedit me dura medio segundo abierto y se me cierra.
Ya le hice analizar la pc con ad-aware y registrybooster y lo unico que se logro es qe no aparezca el mensaje del mcafee32 al iniciar windows.. pero igual aparece despues.. cuando abris un programa, pelicula etc etc.
Aca dejo el log del hijackthis:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:11:26, on 22/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\netddesrv.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrador\Escritorio\Prog floritsss\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm
R3 - Default URLSearchHook is missing
O1 - Hosts: 64.74.134.64 onlineaccounts2.abbeynational.co.uk
O1 - Hosts: 64.74.134.64 www3.aibgbonline.co.uk
O1 - Hosts: 64.74.134.64 www.bank.alliance-leicester.co.uk (http://www.bank.alliance-leicester.co.uk)
O1 - Hosts: 64.74.134.64 login.iblogin.com
O1 - Hosts: 64.74.134.64 ww2.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 64.74.134.64 inet.barclays.co.uk
O1 - Hosts: 64.74.134.64 iibank.barclays.co.uk
O1 - Hosts: 64.74.134.64 iibank.cahoot.com
O1 - Hosts: 64.74.134.64 www3.coventrybuildingsociety.co.uk
O1 - Hosts: 64.74.134.64 ww.hsbc.co.uk
O1 - Hosts: 64.74.134.64 login.ebank.offshore.hsbc.co.je
O1 - Hosts: 64.74.134.64 ww3.online-offshore.lloydstsb.com
O1 - Hosts: 64.74.134.64 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 64.74.134.64 ww3.online.lloydstsb.co.uk
O1 - Hosts: 64.74.134.64 ww3.online.lloydstsb.co.uk
O1 - Hosts: 64.74.134.64 ww3.online-business.lloydstsb.co.uk
O1 - Hosts: 64.74.134.64 ob2.nationet.com
O1 - Hosts: 64.74.134.64 ww3.onlinebanking.natwestoffshore.com
O1 - Hosts: 64.74.134.64 ww1.nwolb.com
O1 - Hosts: 64.74.134.64 ww1.onlinebanking.iombank.com
O1 - Hosts: 64.74.134.64 ww1.www.rbsdigital.com
O1 - Hosts: 64.74.134.64 welcome.smile.co.uk
O1 - Hosts: 64.74.134.64 login.365online.com
O1 - Hosts: 64.74.134.64 wvw.citizensbankonline.com
O1 - Hosts: 64.74.134.64 esecure.regionsnet.com
O1 - Hosts: 64.74.134.64 rollb.associatedbank.com
O1 - Hosts: 64.74.134.64 upb.unionplanters.com
O1 - Hosts: 64.74.134.64 www.onlinebanking.huntington.com (http://www.onlinebanking.huntington.com)
O1 - Hosts: 64.74.134.64 inet.southtrustonlinebanking.com
O1 - Hosts: 64.74.134.64 logon.personal.wamu.com
O1 - Hosts: 64.74.134.64 login.compassweb.com
O1 - Hosts: 64.74.134.64 logon.firstmeritib.com
O1 - Hosts: 64.74.134.64 login.ccfcuonline.org
O1 - Hosts: 64.74.134.64 ww3.etimebanker.bankofthewest.com
O1 - Hosts: 64.74.134.64 ww2.onlinebanking.lasallebank.com
O1 - Hosts: 64.74.134.64 wvw.totallyfreebanking.com
O1 - Hosts: 64.74.134.64 www.online.wellsfargo.com (http://www.online.wellsfargo.com)
O1 - Hosts: 64.74.134.64 www.onlinebanking.bankofoklahoma.com (http://www.onlinebanking.bankofoklahoma.com)
O1 - Hosts: 64.74.134.64 accounts4.keybank.com
O1 - Hosts: 64.74.134.64 logon.bankone.com
O1 - Hosts: 64.74.134.64 www.secure.tdbanknorth.com (http://www.secure.tdbanknorth.com)
O1 - Hosts: 64.74.134.64 www.secure.mvnt4.com (http://www.secure.mvnt4.com)
O1 - Hosts: 64.74.134.64 ww.mynfbonline.com
O1 - Hosts: 64.74.134.64 login.forumcuonline.com
O1 - Hosts: 64.74.134.64 www.eds.usersonlnet.com (http://www.eds.usersonlnet.com)
O1 - Hosts: 64.74.134.64 www.onlineid.bankofamerica.com (http://www.onlineid.bankofamerica.com)
O1 - Hosts: 64.74.134.64 wvw.e-gold.com
O1 - Hosts: 64.74.134.64 pcbs.peoples.com
O1 - Hosts: 64.74.134.64 www.global1.onlinebank.com (http://www.global1.onlinebank.com)
O1 - Hosts: 64.74.134.64 ww2.mybranch.lafcu.com
O1 - Hosts: 64.74.134.64 login.webbanking.comerica.com
O1 - Hosts: 64.74.134.64 web.banking.firsttennessee.com
O1 - Hosts: 64.74.134.64 logon.members1st.org
O1 - Hosts: 64.74.134.64 www.cib.ibanking-services.com (http://www.cib.ibanking-services.com)
O1 - Hosts: 64.74.134.64 www.miwebbusbank.ebanking-services.com (http://www.miwebbusbank.ebanking-services.com)
O1 - Hosts: 64.74.134.64 wvw.paypal.com
O1 - Hosts: 64.74.134.64 www.signin.ebay.com (http://www.signin.ebay.com)
O1 - Hosts: 64.74.134.64 wvw.etrade.com
O1 - Hosts: 64.74.134.64 ww4.fleethomelink.fleet.com
O1 - Hosts: 64.74.134.64 ww3.connect.skyfi.com
O1 - Hosts: 64.74.134.64 www6.usbank.com
O1 - Hosts: 64.74.134.64 www.bvi.bancodevalencia.es (http://www.bvi.bancodevalencia.es)
O1 - Hosts: 64.74.134.64 extrant.banesto.es
O1 - Hosts: 64.74.134.64 banesnt.banesto.es
O1 - Hosts: 64.74.134.64 activia.caixagalicia.es
O1 - Hosts: 64.74.134.64 www.bancae.caixapenedes.com (http://www.bancae.caixapenedes.com)
O1 - Hosts: 64.74.134.64 login.caixasabadell.net
O1 - Hosts: 64.74.134.64 oii.cajamadrid.es
O1 - Hosts: 64.74.134.64 login.cajamar.es
O1 - Hosts: 64.74.134.64 login.ccm.es
O1 - Hosts: 64.74.134.64 ww.unicaja.es
O1 - Hosts: 64.74.134.64 www5.bancopopular.es
O1 - Hosts: 64.74.134.64 ww3.bbvanet.com
O1 - Hosts: 64.74.134.64 ww.bayernlb.de
O1 - Hosts: 64.74.134.64 ww2.berliner-volksbank.de
O1 - Hosts: 64.74.134.64 ww7.homebanking-berlin.de
O1 - Hosts: 64.74.134.64 portal09.commerzbanking.de
O1 - Hosts: 64.74.134.64 www.meine.deutsche-bank.de (http://www.meine.deutsche-bank.de)
O1 - Hosts: 64.74.134.64 ww2.dresdner-privat.de
O1 - Hosts: 64.74.134.64 ww.e-banking.helaba.de
O1 - Hosts: 64.74.134.64 ww.hsh-nordbank.de
O1 - Hosts: 64.74.134.64 www.my.hypovereinsbank.de (http://www.my.hypovereinsbank.de)
O1 - Hosts: 64.74.134.64 ww3.homebanking-berlin.de
O1 - Hosts: 64.74.134.64 ww3.homebanking-berlin.de
O1 - Hosts: 64.74.134.64 www.banking.lbbw.de (http://www.banking.lbbw.de)
O1 - Hosts: 64.74.134.64 lrp.sparkasse-banking.de
O1 - Hosts: 64.74.134.64 ww3.homebanking-niedersachsen.de
O1 - Hosts: 64.74.134.64 www.onlinebanking.norisbank.de (http://www.onlinebanking.norisbank.de)
O1 - Hosts: 64.74.134.64 www.banking.postbank.de (http://www.banking.postbank.de)
O1 - Hosts: 64.74.134.64 wvw.internetbanking.gad.de
O1 - Hosts: 64.74.134.64 ww1.portal.izb.de
O1 - Hosts: 64.74.134.64 wvw.kunden-service.lbs.de
O1 - Hosts: 64.74.134.64 ibanking.seb.de
O1 - Hosts: 64.74.134.64 bw7.sparkasse-banking.de
O1 - Hosts: 64.74.134.64 ww2.homebanking-sparkasse.de
O1 - Hosts: 64.74.134.64 ww2.vr-networld-ebanking.de
O1 - Hosts: 64.74.134.64 ww.bics.fr
O1 - Hosts: 64.74.134.64 www.co.caixabank.fr (http://www.co.caixabank.fr)
O1 - Hosts: 64.74.134.64 ww.creditmutuel.fr
O1 - Hosts: 64.74.134.64 internetbank.intesabci.it
O1 - Hosts: 64.74.134.64 ww.extensive.bancalombarda.it
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\awvvv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Services] C:\iexplorer.exe
O4 - HKLM\..\Run: [Compaq32 Service Drivers] msnt32.exe
O4 - HKLM\..\Run: [Win Update] C:\iexplorer.exe
O4 - HKLM\..\RunServices: [Compaq32 Service Drivers] msnt32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Compaq32 Service Drivers] msnt32.exe
O4 - HKCU\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [Uniblue Registry Booster2] C:\Archivos de programa\Uniblue\RegistryBooster2\RegistryBooster. exe /S
O4 - HKCU\..\RunServices: [Compaq32 Service Drivers] msnt32.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Archivos de programa\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [HLL Data Parameter] hllcxpa.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Sms System32] SmsSystem32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Compaq32 Service Drivers] msnt32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Sms System32] SmsSystem32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [HLL Data Parameter] hllcxpa.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Sms System32] SmsSystem32.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [HLL Data Parameter] hllcxpa.exe (User 'Default user')
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O20 - Winlogon Notify: awvvv - C:\WINDOWS\SYSTEM32\awvvv.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: netconf32 - Unknown owner - C:\WINDOWS\netconf32.exe
O23 - Service: DDE de red (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sms System32 (Sms Systems) - Unknown owner - C:\WINDOWS\System32\SmsSystem32.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
--
End of file - 11688 bytes
Gracias de ante mano!!
STRELOK
junio 3, 2008, 07:08
pues hombre asi mirando por encima si no estoy mal esta infectado con este troyano win32ssr.exe, creo que tienes mas pero estoy como de afan, asi que aca te dejo paginas con informacion de los procesos que son nativos de windows y de como eliminar lo que te acabo de mencionar
http://spyware.adslnet.es/genera.php?processfile=win32ssr.exe&dir=w&pag=26
http://www.procesoswindows.com/letra.php?letra=uw&pagina=1
Ademas si te da por formatear te recomiendo que le instales un windows XP pero minimo con el service pack 2
holly_flor
junio 4, 2008, 05:57
hola y gracias por responder.. voy a ver si puedo eliminar ese archivo.. Despues te cuento como funciona..
vBulletin®, Copyright ©2000-2008, Jelsoft Enterprises Ltd.