Registrese o identifiquese, para no ver la publicidad

Programas que se instalan solos

Los Spyware o archivos espías son unas diminutas aplicaciones cuyo objetivo es espiar tus habitos, preguntamos te ayudaremos a solucionar tu problemas.

Programas que se instalan solos

Notapor SOLO_YO » 26-01-2013 10:47

Hola de nuevo

Tengo el ordenador hecho una birria: cada vez que inicio se me instalan una seria de programas raros, los desinstalo y se vuelven a instalar. Ahora lo ultimo es que enciendo el ordenador y no se termina de inciar, se queda la pantalla con el color del fonde de esctritorio y con el cursor en forma de reloj de arena. Ahora estoy en modo seguro, y he pasado los programas (adaware, spyboot) asi como antivirus online pero nada... Lo ultimo que me queda hacer es pasar el hijackthis y pegaros el log a ver si podeis ayudarme. Muchas gracias

Logfile of HijackThis v1.99.1
Scan saved at 17:51:52, on 20/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
c:\winnt\system32\zrjbfgy.exe
C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unavarra.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {CB229432-29A3-EE54-8C96-242D2033B6AA} - C:\Archivos de programa\drvi\rsjqmvqvni.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zSPGuard] c:\archivos de programa\pjw\spguard\spguard.exe /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [stone] stone.exe
O4 - HKLM\..\Run: [Windows Security Manager] winsecurity.exe
O4 - HKLM\..\Run: [gowepu] ifaifa.exe
O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview AdService\PrevAdServ.exe
O4 - HKLM\..\Run: [sys33] Sys33.exe
O4 - HKLM\..\Run: [dqwdasdqw] C:\WINNT\SYSTEM32\csadqw.exe
O4 - HKLM\..\Run: [Windows Spoolvvv Service] spoolvvv.exe
O4 - HKLM\..\Run: [ffnivv] c:\winnt\system32\zrjbfgy.exe r
O4 - HKLM\..\RunServices: [stone] stone.exe
O4 - HKLM\..\RunServices: [Windows Security Manager] winsecurity.exe
O4 - HKLM\..\RunServices: [gowepu] ifaifa.exe
O4 - HKLM\..\RunServices: [sys33] Sys33.exe
O4 - HKLM\..\RunServices: [Windows Spoolvvv Service] spoolvvv.exe
O4 - HKLM\..\RunOnce: [Windows Spoolvvv Service] spoolvvv.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [gowepu] ifaifa.exe
O4 - HKCU\..\Run: [Windows Spoolvvv Service] spoolvvv.exe
O4 - HKCU\..\RunOnce: [Windows Spoolvvv Service] spoolvvv.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = C:\Archivos de programa\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView5\NkvMon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/viru ... ebscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{865A064B-978C-441D-B21F-A82F19DFEDAF}: Domain = unavarra.es
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: System Firewall (Firewall Application) - Unknown owner - C:\WINNT\system32\sysfirewall.exe" -service (file missing)
O23 - Service: kinrkzd - Unknown owner - \\82.213.128.52\c\Sys33.exe" -service (file missing)
O23 - Service: Media (NtmsSvcnt) - Unknown owner - C:\WINNT\RpcSc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINNT\svchost.exe (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe
O23 - Service: unwxdpz - Unknown owner - \\82.213.139.188\ADMIN$\ip.exe" -service (file missing)
SOLO_YO
Novato
Novato
 
Mensajes: 14
Registrado: 26-01-2013 10:47

Notapor flacoroo » 26-01-2013 10:47

lo unico que encontre por ahi mal es lo siguiente pero antes de que las marques y las borres checa si no es de un programa conocido......

O2 - BHO: (no name) - {CB229432-29A3-EE54-8C96-242D2033B6AA} - C:\Archivos de programa\drvi\rsjqmvqvni.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [gowepu] ifaifa.exe

O4 - HKLM\..\Run: [ffnivv] c:\winnt\system32\zrjbfgy.exe r
O4 - HKCU\..\Run: [gowepu] ifaifa.exe

ahora si dices que ya corristes el spybot(me imagino que la ultima actualizacion)...en el menu esta la opcion modo...da click en avanzados...de ahi en la parte izq apareceran unas opciones o pestañas..dale click la que dice herramientas y habilitas todas las opciones...dentro de ahi hay una que dice inicio del sistema...dale click ahi...en la aprte derecha hay como una pestaña dale click para que se abra...ahi te dira la informacion de cada archivo que inicia con el sistema...deshabilita las que te digan virus, troyanos, etc. o tambien la que te digan la necesidad dependel usuario...y despues corres el spybot pero actualizado no se te el olvide que ya estamos en la version 1.4 del spybot si no lo tienes asi desde la pagina principal en descargas lo puedes bajar.....tambien debes entrar en panel de control...quitar o instalar programas y eliminar todos los programas que hagan refeencial al toolsbars, chooping, casinos, emoticons...etc...y en el menu del internet la opcion VER....barras de herramientas deshabilitar todas las barras que estan de mas...hasta la de google y confiables....nos dices como te fue....
Porque nos caemos?....para poder levantarnos
Avatar de Usuario
flacoroo
Moderador
Moderador
 
Mensajes: 5299
Registrado: 26-01-2013 10:47
Ubicación: Paso del Macho,Ver.México

Notapor msc hotline sat » 26-01-2013 10:47

Antes de eliminar nada, envianos muestras de estos ficheros, pues debemos analizarlos para controlarlos con las utilidades al respecto, si todavía no lo están:

c:\winnt\system32\zrjbfgy.exe

Sys33.exe

C:\WINNT\SYSTEM32\csadqw.exe

spoolvvv.exe

ifaifa.exe

Algunos de ellos pueden ser SDBOT, y quizas un antivirus actualizado los detectará, pero ya te lo diremos, ya que no solo se han de eliminar las claves que aparecen en el HJT, sino otras que modifican estos malwares, por ello siempre han de eliminarse los virus y spywares con las utilidades correspondientes y dejar el HJT para los restos de claves no restauradas y la deteccion de nuevas variantes, las cuales analizar y controlar.

Envienos estos ficheros anexados a un mail a zonavirus@satinfo.es en cuyo texto nos ponga un copiar y pehar de este post para poder contestarle comor espuesta a este Tema

Luego, lance el actual ELISTARA.EXE, que cada día mejoramos con la implementacion del control de nuevas muestras como las que le pedimos:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp



saludos

ms, 20-06-2005
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 80877
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Notapor SOLO_YO » 26-01-2013 10:47

Hola de nuevo:

No puedo enviar dichas copias de archivos por que me pone que estan infectados y hotmail no me deja adjuntarlos. Lo demas he hecho todo lo dicho `pero la cosa sigue chunga.
Gracias
SOLO_YO
Novato
Novato
 
Mensajes: 14
Registrado: 26-01-2013 10:47

Notapor maura63 » 26-01-2013 10:47

Prueba a comprimirlos con win zip por ejemplo y los envias.

Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
http://elrinconcito.net/Imagenes/Animales-Insectos/Aves/GIF011.gif

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Avatar de Usuario
maura63
Moderador
Moderador
 
Mensajes: 7142
Registrado: 26-01-2013 10:47
Ubicación: Cádiz, ESPAÑA

Notapor msc hotline sat » 26-01-2013 10:47

Y el ZIP lo haces con pasword poniendo como pasword VIRUS, y asi se encripta y pasa por todos los controles sin ser detenido, Por supuesto que para hacerlo y enviarlo has de desactivar el antivirus, claro

y asi podremos crear utilidades de eliminacion y restauraciuon de claves de registro afectadas por estos bichos

saludos

ms, 22-06.2005
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 80877
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)


Volver a Foro Spyware

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 4 invitados


Registrese o identifiquese, para no ver la publicidad