El Internet Explorer se abre solo... (TERMINADO)

Cerrado
bLaSt
Mensajes: 21
Registrado: 07 Jun 2004, 06:18
Ubicación: En Frente de mi Computadora

El Internet Explorer se abre solo... (TERMINADO)

Mensaje por bLaSt » 14 Feb 2008, 00:12

Hola a todos.



Desde hace unas semanas un spyware/malware o algo por el estilo ha provocado que el Internet Explorer se abra solo continuamente...[url=http://img232.imageshack.us/img232/2126/copiadeolologh8.png]ACA[/url] un screenshoot.



Tengo el NOD32 2.7 (actualizado) y no detecto nada, tengo el Spysweeper 5.5 (actualizado) y solo me detecto algunos "Spy Cookies" sin solucionar el problema. Hasta hice un scan con el EliStarA y me detecto lo siguiente:


[code]Wed Feb 06 19:37:38 2008
EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Wed Feb 06 19:48:15 2008
EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Linea Eliminada del HOSTS --> 127.0.0.1 www.intuneads.com
Linea Eliminada del HOSTS --> 127.0.0.1 www.freemusic123.com
Linea Eliminada del HOSTS --> 127.0.0.1 www.cifras.com.br
Linea Eliminada del HOSTS --> 127.0.0.1 www.gshome.com
Linea Eliminada del HOSTS --> 127.0.0.1 www.all-midi.com
Linea Eliminada del HOSTS --> 127.0.0.1 www.directtabs.com
Linea Eliminada del HOSTS --> 127.0.0.1 hg1.hitbox.com
Linea Eliminada del HOSTS --> 127.0.0.1 ad.harmony-central.com
Linea Eliminada del HOSTS --> 127.0.0.1 cdn1.tribalfusion.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg01.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg02.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg03.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg04.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg05.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg06.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg07.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg08.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg09.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg10.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg11.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg12.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg14.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg15.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 isg16.casalemedia.com
Linea Eliminada del HOSTS --> 127.0.0.1 ads.PointRoll.com
Linea Eliminada del HOSTS --> #127.0.0.1 global.msads.net
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Wed Feb 06 19:49:59 2008
EliStartPage v15.60 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\CLOSEAPP.EXE --> Eliminado, RiskTool.CloseApp

Nº Total de Directorios: 5008
Nº Total de Ficheros: 38752
Nº de Ficheros Analizados: 13340
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Tue Feb 12 22:03:49 2008
EliStartPage v15.64 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Tue Feb 12 22:04:12 2008
EliStartPage v15.64 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 5016
Nº Total de Ficheros: 41942
Nº de Ficheros Analizados: 13772
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
[/code]


PERO no soluciono el problema porque despues del scan el IE seguia abirendo solo e intentando entrar a esas paginas que mostre en el screenshoot.



Otra cosa frecuentemente el Spysweeper me muestra [url=http://img253.imageshack.us/img253/596/dibujodh2.png]este mensaje[/url]



Gracias de antemano. :wink:

Avatar de Usuario
Claudia34
Mensajes: 1256
Registrado: 28 Feb 2007, 00:53

Mensaje por Claudia34 » 14 Feb 2008, 00:40

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/



Saludos.
Reglas para estar aunque sea un 40% mas seguro en internet: "navegar con usuario limitado, tener 1 antispyware, 1 cortafuegos (por hardware), 1 antivirus,1 IDS y 1 HIPS en la pc actualizados, realizar un escaneo semanalmente con 7 antivirus online, usar site advisor, informarse diariamente de los temas de seguridad informatica, deshabilitar algunos servicios innecesarios de windows xp, analizar los archivos con virus total antes de abrirlos, utilizar algunas herramientas antimalware y antirootkit gratuitas para escaneo semanalmente, tener un poco de paranoia al navegar por internet (no confiar casi en nadie), utilizar un navegador que no tenga muchos agujeros de seguridad, hacer una copia de seguridad de los datos regularmente, tener actualizados todos los softwares en la pc ademas del S.O., no dar datos privados al navegar, utilizar una fuerte y compleja contraseña para todos los usuarios en la pc, cambiar las contraseñas cada poco tiempo, utilizar elipen, etc., etc." .

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 14 Feb 2008, 07:19

Y las repetidas entradas en el HOSTS bloqueando el acceso a http://www.isg03.casalemedia.com parece ser de la ejecucion repetidas veces de algo que la implementa...



Diganos si conoce de algo dicha URL, aunque ya hayan sido limpiadas del HOSTS las lineas que bloqueaban dicho acceso



y en cualquier caso, a la vista de los logs que generaran las utilidades indicadas por Claudia, procederemos a examinarlas e informar en consecuencia



saludos



ms, 14-2-2008

bLaSt
Mensajes: 21
Registrado: 07 Jun 2004, 06:18
Ubicación: En Frente de mi Computadora

Mensaje por bLaSt » 15 Feb 2008, 02:34

Hola gracias por responder y disculpen la tardanza.



Hice la mayor parte de lo que me recomendaron.



- El EliTriIP no detecto nada.

- HiJackThis (lo anexo mas abajo)

- Instale el Spybot-Search and Destroy, IMPRESIONANTE (y ademas gratis) este programa, me detecto bastantes spywares-malwares algo que el Spysweeper (tenia entendido que era de los mejores en su campo) no hizo.



1) HiJackThis MODO SEGURO




[code]
Logfile of HijackThis v1.99.1
Scan saved at 08:39:08 p.m., on 14/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\LVComsX.exe
D:\Archivos de programas\Logitech\Video\AlbumDB2.exe
D:\Archivos de programas\Logitech\Video\FxSvr2.exe
D:\OK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.co.ve
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=mail.theweb.co.uk:8888
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 208.109.221.107 as.casalemedia.com
O1 - Hosts: 208.109.221.107 adserving.cpxinteractive.com
O1 - Hosts: 208.109.233.197 ad.yieldmanager.com
O1 - Hosts: 208.109.233.197 ad.doubleclick.net
O1 - Hosts: 208.109.221.107 altfarm.mediaplex.com # download.com
O1 - Hosts: 208.109.221.107 ad.n2434.doubleclick.net # download.com
O1 - Hosts: 208.109.221.107 mads.download.com # download.com
O1 - Hosts: 208.109.221.107 mads.cnet.com # download.com
O1 - Hosts: 208.109.221.107 mads.com.com
O1 - Hosts: 38.113.170.200 ads1.msn.com
O1 - Hosts: 38.113.170.200 ads.sup.com
O1 - Hosts: 38.113.174.32 dehp.myspace.com
O1 - Hosts: 38.113.174.32 demr.myspace.com
O1 - Hosts: 38.113.174.32 desk.myspace.com
O1 - Hosts: 38.113.174.32 delb.myspace.com
O1 - Hosts: 208.109.233.197 delb2.myspace.com
O1 - Hosts: 208.109.221.107 debr.myspace.com
O1 - Hosts: 38.113.174.32 view.atdmt.com
O1 - Hosts: 38.113.170.200 rad.msn.com
O1 - Hosts: 38.113.170.200 themis.geocities.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] "D:\Archivos de programas\Logitech\Video\ISStart.exe"
O4 - HKLM\..\Run: [LogitechVideoTray] "D:\Archivos de programas\Logitech\Video\LogiTray.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Archivos de programas\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] "D:\Archivos de programas\Google\Gmail Notifier\gnotify.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] "D:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Archivos de programas\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "D:\Archivos de programas\Eset\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NodLogin] "D:\Archivos de programas\Eset\NOD32\nodlogin.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "D:\Archivos de programas\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Archivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = D:\Archivos de Programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ladychuita.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/us/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134742526500
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ve/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B45E969D-924F-4C83-ACF3-38CDD115AA2C} (MpiPlugin Class) - https://www.isaackorea.net/update/ilkactx.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Archivos de programas\Eset\NOD32\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

[/code]


2) HiJackThis MODO NORMAL


[code]
Logfile of HijackThis v1.99.1
Scan saved at 08:45:45 p.m., on 14/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
D:\Archivos de programas\Logitech\Video\LogiTray.exe
D:\Archivos de programas\DAEMON Tools\daemon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
D:\Archivos de programas\Google\Gmail Notifier\gnotify.exe
D:\Archivos de programas\iTunes\iTunesHelper.exe
D:\Archivos de programas\Eset\NOD32\nod32kui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Archivos de programas\Spybot - Search & Destroy\TeaTimer.exe
D:\Archivos de Programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Archivos de programas\Logitech\Video\FxSvr2.exe
D:\Archivos de programas\Eset\NOD32\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Archivos de programas\Logitech\Video\AlbumDB2.exe
D:\OK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.co.ve
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=mail.theweb.co.uk:8888
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 208.109.221.107 as.casalemedia.com
O1 - Hosts: 208.109.221.107 adserving.cpxinteractive.com
O1 - Hosts: 208.109.233.197 ad.yieldmanager.com
O1 - Hosts: 208.109.233.197 ad.doubleclick.net
O1 - Hosts: 208.109.221.107 altfarm.mediaplex.com # download.com
O1 - Hosts: 208.109.221.107 ad.n2434.doubleclick.net # download.com
O1 - Hosts: 208.109.221.107 mads.download.com # download.com
O1 - Hosts: 208.109.221.107 mads.cnet.com # download.com
O1 - Hosts: 208.109.221.107 mads.com.com
O1 - Hosts: 38.113.170.200 ads1.msn.com
O1 - Hosts: 38.113.170.200 ads.sup.com
O1 - Hosts: 38.113.174.32 dehp.myspace.com
O1 - Hosts: 38.113.174.32 demr.myspace.com
O1 - Hosts: 38.113.174.32 desk.myspace.com
O1 - Hosts: 38.113.174.32 delb.myspace.com
O1 - Hosts: 208.109.233.197 delb2.myspace.com
O1 - Hosts: 208.109.221.107 debr.myspace.com
O1 - Hosts: 38.113.174.32 view.atdmt.com
O1 - Hosts: 38.113.170.200 rad.msn.com
O1 - Hosts: 38.113.170.200 themis.geocities.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] "D:\Archivos de programas\Logitech\Video\ISStart.exe"
O4 - HKLM\..\Run: [LogitechVideoTray] "D:\Archivos de programas\Logitech\Video\LogiTray.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Archivos de programas\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] "D:\Archivos de programas\Google\Gmail Notifier\gnotify.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] "D:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Archivos de programas\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "D:\Archivos de programas\Eset\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NodLogin] "D:\Archivos de programas\Eset\NOD32\nodlogin.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "D:\Archivos de programas\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Archivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = D:\Archivos de Programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ladychuita.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/us/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134742526500
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ve/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B45E969D-924F-4C83-ACF3-38CDD115AA2C} (MpiPlugin Class) - https://www.isaackorea.net/update/ilkactx.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Archivos de programas\Eset\NOD32\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe


[/code]




Tuve una confucion y el HiJackThis lo pase despues del Spybot-Search and Destroy :? :oops:



PD: mientras escribia el post se me abrio el IE pero esta ves solo una ventana (antes eran como 10 seguidas) y no entro a ninguna web extraña, la barra de direcciones estaba en blanco.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 15 Feb 2008, 07:23

Pues es una pensa que pasara el Spybot antes de contar con nosotros, ahora ya poco podemos ver y hacer, solo que elimine estas claves:





O1 - Hosts: 208.109.221.107 as.casalemedia.com



O1 - Hosts: 208.109.221.107 adserving.cpxinteractive.com



O1 - Hosts: 208.109.233.197 ad.yieldmanager.com



O1 - Hosts: 208.109.233.197 ad.doubleclick.net



O1 - Hosts: 208.109.221.107 altfarm.mediaplex.com # download.com



O1 - Hosts: 208.109.221.107 ad.n2434.doubleclick.net # download.com



O1 - Hosts: 208.109.221.107 mads.download.com # download.com



O1 - Hosts: 208.109.221.107 mads.cnet.com # download.com



O1 - Hosts: 208.109.221.107 mads.com.com



O1 - Hosts: 38.113.170.200 ads1.msn.com



O1 - Hosts: 38.113.170.200 ads.sup.com



O1 - Hosts: 38.113.174.32 dehp.myspace.com



O1 - Hosts: 38.113.174.32 demr.myspace.com



O1 - Hosts: 38.113.174.32 desk.myspace.com



O1 - Hosts: 38.113.174.32 delb.myspace.com



O1 - Hosts: 208.109.233.197 delb2.myspace.com



O1 - Hosts: 208.109.221.107 debr.myspace.com



O1 - Hosts: 38.113.174.32 view.atdmt.com



O1 - Hosts: 38.113.170.200 rad.msn.com



O1 - Hosts: 38.113.170.200 themis.geocities.yahoo.com



O16 - DPF: {B45E969D-924F-4C83-ACF3-38CDD115AA2C} (MpiPlugin Class) - https://www.isaackorea.net/update/ilkactx.cab





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334







pero ya sin los ficheros y las pistas que nos hubieran permitido analizar el problema hasta el fondo, damos el Tema por terminado y procedemos a cerrarlo.



saludos



ms, 15-2-2008

Cerrado

Volver a “Foro Spyware”