Programas que se instalan solos

Responder
SOLO_YO
Mensajes: 14
Registrado: 21 Feb 2005, 21:19

Programas que se instalan solos

Mensaje por SOLO_YO » 20 Jun 2005, 17:46

Hola de nuevo



Tengo el ordenador hecho una birria: cada vez que inicio se me instalan una seria de programas raros, los desinstalo y se vuelven a instalar. Ahora lo ultimo es que enciendo el ordenador y no se termina de inciar, se queda la pantalla con el color del fonde de esctritorio y con el cursor en forma de reloj de arena. Ahora estoy en modo seguro, y he pasado los programas (adaware, spyboot) asi como antivirus online pero nada... Lo ultimo que me queda hacer es pasar el hijackthis y pegaros el log a ver si podeis ayudarme. Muchas gracias



Logfile of HijackThis v1.99.1

Scan saved at 17:51:52, on 20/06/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.exe

c:\winnt\system32\zrjbfgy.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unavarra.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {CB229432-29A3-EE54-8C96-242D2033B6AA} - C:\Archivos de programa\drvi\rsjqmvqvni.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zSPGuard] c:\archivos de programa\pjw\spguard\spguard.exe /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [stone] stone.exe

O4 - HKLM\..\Run: [Windows Security Manager] winsecurity.exe

O4 - HKLM\..\Run: [gowepu] ifaifa.exe

O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview AdService\PrevAdServ.exe

O4 - HKLM\..\Run: [sys33] Sys33.exe

O4 - HKLM\..\Run: [dqwdasdqw] C:\WINNT\SYSTEM32\csadqw.exe

O4 - HKLM\..\Run: [Windows Spoolvvv Service] spoolvvv.exe

O4 - HKLM\..\Run: [ffnivv] c:\winnt\system32\zrjbfgy.exe r

O4 - HKLM\..\RunServices: [stone] stone.exe

O4 - HKLM\..\RunServices: [Windows Security Manager] winsecurity.exe

O4 - HKLM\..\RunServices: [gowepu] ifaifa.exe

O4 - HKLM\..\RunServices: [sys33] Sys33.exe

O4 - HKLM\..\RunServices: [Windows Spoolvvv Service] spoolvvv.exe

O4 - HKLM\..\RunOnce: [Windows Spoolvvv Service] spoolvvv.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [gowepu] ifaifa.exe

O4 - HKCU\..\Run: [Windows Spoolvvv Service] spoolvvv.exe

O4 - HKCU\..\RunOnce: [Windows Spoolvvv Service] spoolvvv.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = C:\Archivos de programa\FotoStation Easy\FotoStation Easy AutoLaunch.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{865A064B-978C-441D-B21F-A82F19DFEDAF}: Domain = unavarra.es

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: System Firewall (Firewall Application) - Unknown owner - C:\WINNT\system32\sysfirewall.exe" -service (file missing)

O23 - Service: kinrkzd - Unknown owner - \\82.213.128.52\c\Sys33.exe" -service (file missing)

O23 - Service: Media (NtmsSvcnt) - Unknown owner - C:\WINNT\RpcSc.exe

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINNT\svchost.exe (file missing)

O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe

O23 - Service: unwxdpz - Unknown owner - \\82.213.139.188\ADMIN$\ip.exe" -service (file missing)

Avatar de Usuario
flacoroo
Mensajes: 6289
Registrado: 09 Mar 2004, 20:32
Ubicación: Paso del Macho,Ver.México

Mensaje por flacoroo » 20 Jun 2005, 18:29

lo unico que encontre por ahi mal es lo siguiente pero antes de que las marques y las borres checa si no es de un programa conocido......



O2 - BHO: (no name) - {CB229432-29A3-EE54-8C96-242D2033B6AA} - C:\Archivos de programa\drvi\rsjqmvqvni.dll (file missing)



O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx



O4 - HKLM\..\Run: [gowepu] ifaifa.exe



O4 - HKLM\..\Run: [ffnivv] c:\winnt\system32\zrjbfgy.exe r

O4 - HKCU\..\Run: [gowepu] ifaifa.exe



ahora si dices que ya corristes el spybot(me imagino que la ultima actualizacion)...en el menu esta la opcion modo...da click en avanzados...de ahi en la parte izq apareceran unas opciones o pestañas..dale click la que dice herramientas y habilitas todas las opciones...dentro de ahi hay una que dice inicio del sistema...dale click ahi...en la aprte derecha hay como una pestaña dale click para que se abra...ahi te dira la informacion de cada archivo que inicia con el sistema...deshabilita las que te digan virus, troyanos, etc. o tambien la que te digan la necesidad dependel usuario...y despues corres el spybot pero actualizado no se te el olvide que ya estamos en la version 1.4 del spybot si no lo tienes asi desde la pagina principal en descargas lo puedes bajar.....tambien debes entrar en panel de control...quitar o instalar programas y eliminar todos los programas que hagan refeencial al toolsbars, chooping, casinos, emoticons...etc...y en el menu del internet la opcion VER....barras de herramientas deshabilitar todas las barras que estan de mas...hasta la de google y confiables....nos dices como te fue....
:lol: :lol: La vida es hermosa....para que complicarnosla :lol: :lol:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 20 Jun 2005, 18:40

Antes de eliminar nada, envianos muestras de estos ficheros, pues debemos analizarlos para controlarlos con las utilidades al respecto, si todavía no lo están:



c:\winnt\system32\zrjbfgy.exe



Sys33.exe



C:\WINNT\SYSTEM32\csadqw.exe



spoolvvv.exe



ifaifa.exe



Algunos de ellos pueden ser SDBOT, y quizas un antivirus actualizado los detectará, pero ya te lo diremos, ya que no solo se han de eliminar las claves que aparecen en el HJT, sino otras que modifican estos malwares, por ello siempre han de eliminarse los virus y spywares con las utilidades correspondientes y dejar el HJT para los restos de claves no restauradas y la deteccion de nuevas variantes, las cuales analizar y controlar.



Envienos estos ficheros anexados a un mail a zonavirus@satinfo.es en cuyo texto nos ponga un copiar y pehar de este post para poder contestarle comor espuesta a este Tema



Luego, lance el actual ELISTARA.EXE, que cada día mejoramos con la implementacion del control de nuevas muestras como las que le pedimos:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







saludos



ms, 20-06-2005

SOLO_YO
Mensajes: 14
Registrado: 21 Feb 2005, 21:19

Mensaje por SOLO_YO » 22 Jun 2005, 17:35

Hola de nuevo:



No puedo enviar dichas copias de archivos por que me pone que estan infectados y hotmail no me deja adjuntarlos. Lo demas he hecho todo lo dicho `pero la cosa sigue chunga.

Gracias

maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:

Mensaje por maura63 » 22 Jun 2005, 19:22

Prueba a comprimirlos con win zip por ejemplo y los envias.



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 22 Jun 2005, 20:36

Y el ZIP lo haces con pasword poniendo como pasword VIRUS, y asi se encripta y pasa por todos los controles sin ser detenido, Por supuesto que para hacerlo y enviarlo has de desactivar el antivirus, claro



y asi podremos crear utilidades de eliminacion y restauraciuon de claves de registro afectadas por estos bichos



saludos



ms, 22-06.2005

Responder

Volver a “Foro Spyware”