Es acaso un virus?

Jaaaa, naaaaaaa che la PC está desfizzada!!! jaaaaa! que un poco de esto entiendo, Aunque un poquito más de linux que de windows igual se lo que significa editar el registro, aunque los sacaba eliminando las llaves un por una y no con el hijackthis, creo que es una buena herramienta para windows.
Saludos, son grosos... un gusto hacer historia con ustedes porque no hay nada en español de como saar el winrom creo, tengo entendido que este recien aparece el 24 de septiembre de este año.

Vi este proceso activo y pensé que estaba freezada:

C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DF5Serv.exe

Si te estoy ayudando y me confundí con algo, me avisás y listo. Pero llama la atención de que las mismas entradas volvieran a aparecer.

Si querés seguir intentando, acá volamos más del 95% de las infecciones que nos presentan.

Saludos!

P.D.: no hace falta el sarcasmo.

Por si no te queda Claro que es Winrom:


http://translate.google.com.ar/trans...%3Des%26sa%3DG

http://translate.googleusercontent.c...q4VzYPvqXDkjNA

Y si sigues teniendo la maquina freezada aunque no lo creas ,habeces se puede
complicar tratar de sacar el Deep Freeze

Ups recien me levanto... me quede dormido!!

C:\Archivos de programa\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
Ese proceso es ciertamente porque la tenía frezzada Master pero cuando le di al Fix no estaba frezzada y luego reinicie... y recien luego de ésto frezze y reinicie nuevamente despues hice el reporte entré al foro y lo pegué.
Esos sitios Lima ya los había visto por eso digo que no hay nada pero nada en castellano.
Un saludo grande.

-----Agregado el 27/9/2009 a las 03 : 15 : 43-----
Master.Mind De verdad te digo que mi respuesta fue de lo más inocente no intenté de ninguna manera ser irónico, disculpa si te pareció eso, aclaré algunas cosas para que nos entendamos mejor, siempre me paso que llamo a la mesa de ayuda de Arnet y me dicen señor está frente a la computadora y te empiensan a explicar... vaya a inicio... bla bla bla... como si no supieras nada y está bien, así debe ser su trabajo, pero yo quiero que se fijen porque tengo ruido en la linea, y todo se combierte en una pérdida de tiempo tan sólo por no aclarar hasta que punto puedo solucionar yo. Por eso lo aclaré amigo de verdad estimo tu respuesta... Un abrazo

Gracias por la aclaración , ya que no fui el único que le dió ese significado a tu respuesta. Mis disculpas también por malinterpretar tus palabras

Veo que no tenés ninguna proteccion contra malwares ni un firewall, así que es riesgoso pedirte que desactives el DF para hacer una buena desinfección on-line.

Ya le avisé a tyny´s que pase a indicarte cómo proceder con el Combofix, ya que él es el que más sabe cómo usarlo. Con eso debería desaparecer todo.

Saludos!

Ya pude solucionarlo, me costó mucho seguramente era más fácil la solución Vikinga (Format C pero bueno me gusta renegar… Acá les paso la data:

Primero. Investigando un poco llegué a la conclusión de que el deep frezze era la causa de que los virus volvieran eternamente cuando frezzaba (habría que hacer ingeniería inversa de cómo funciona dicho programa, creo por mi parte, no sé si me equivoco, que hace una restauración pero diferencial del fat por eso el arrastre que tenía)<--- esto es un supuesto.

Segundo. Desinstale el deep frezze y elimine por completo del registro.
Tercero. Fui al msconfig y agregué al inicio otra vez winrom y iexplorer7. Reinicié.
Cuarto: Scanee con HijackThis seleccione de nuevo las entradas y le di al Fix.
Quinto. Reinicié Crucé los dedos…
Sexto. Otra vez scanne con HijackThis y como por arte de magia estaba limpio de winrom y iexplorer7. Nota winlogon sigue dando vueltas…

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC 1.EXE
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\dfwin.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\792.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC 1.EXE /P23 "EPSON Stylus C43 Series" /O6 "USB001" /M "Stylus C43"
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\dfwin.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 5087 bytes
Muchas gracias a todos por la ayuda…

A mi me parecía que el DF era el que hacía que volvieran las mismas entradas, pero seguramente vos lo conocés mejor que yo, por eso te dije que me podría haber equivocado.

1) Ahora hay una entrada que está en la carpeta de temporales, pero como es un ejecutable desconocido que está corriendo, yo lo califico como peligroso. Fijate vos:

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\792.exe

2) Esta es una entrada perdida:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

3) Esta es peligrosa pero nueva y encima la tenés corriendo como residente :

O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\dfwin.exe


Eso es todo lo del log. No se si cuando desactivás el DF te infectás por Internet, una red o estás usando un medio extraíble infectado. Sin la PC en frente se hace difícil, pero ese proceso residente no se que tanto daño o cuántote puede joder.

Saludos!

Lo bueno es que saqué al winrom.exe... por eso las especificaciones de faronics de frezzar con el sistema virgen porque despues te jode la vida jajajajajajajaja La P... madre che... odio el DF.
Ahora veo si la limpio 100%
Saludos che

Buenas !

Vamos a intentar quitar esos malware que tenes alli, para eso te pido que desactives durante todo el proceso a DF si no va a ser complicado.

Descarga : -- Combofix : http://www.combofix.org/download.php

no abras ningun programa y ejecuta Combofix. A continuacion te dejo algunas instrucciones:

--cerra todos los programas que se encuentren abiertos antes de utilizar ComboFix, incluyendo navegadores de Internet.

-- desactiva la proteccion del antivirus (click derecho sobre el icono de abajo a la derecha y pusar proteccion o deteenr proteccion l). <<< MUY IMPORTANTE

--uando ComboFix se ejecute, no toque su computador en lo absoluto, tome un descanso ya que podría tardar un tiempo en completar el proceso.

-- mientras se ejecuta combofix y escanea es posible q algunos iconos se distorcionen o parpadenen hasta desaparescan , pero no te preocupes es solo durante el escaneo.

-- Cuando ComboFix haya terminado, verá una pantalla indicando que se está preparando el reporte

-- va agenerar un informe en la siguente ubicacion: C:\ComboFix.txt ( osea vas a c:/ y ahi esta el informe )

--si al terminar de usar combofix tenes problemas de conexion a internet cosa que lo dudo
a) reinicia la pc
si siguen
b)
1. Haga clic en el botón Inicio.
2. Haga clic en el menú en la opción Configuración.
3. Haga clic en la opción Panel de Control.
4. Cuando abra el Panel de Control, haga doble clic en el ícono llamado Conexiones de Red. Si su Panel de Control está configurado por Categorías, entonces haga doble clic en Redes y Configuraciones de Internet y luego haga clic en Conexiones de Red al final.
5. Ahora verá una lista de las conexiones disponibles. Haga clic derecho en su adaptador Inalámbrico o Lan.
6. Ahora verá una imagen similar a la que se muestra a continuación. Simplemente haga clic en Reparar.
7. Deje que el proceso se ejecute y cuando termine, su conexión a Internet deberá estar restaurada.


PEGA ACA EL REPORTE DE COMBOFIX .

No pases ni actives DP hasta la respuesta del Sr, M.Mind o mia.

Saludos

Hara el año pasado , tuve una consulta parecida a tu problema , por tiempo no alcanze
a verla , en esa ocasion por Msn , el dueño de la Pc , me pregunto que ya habia agotado
todo , cuando le pregunte de donde habia conseguido el DF , me dijo de de una pagina
donde se bajan cosas pero no la oficial , (sin licencia con crack) el virus por suspuesto
estaba el en crack ejecutable, que parchaba el programa , por ende si no es tu caso
no habra problema, si dudas puedes subir el crack a http://www.virustotal.com/es/