Secuestro pagina de inicio. (solucionado)

[paloma]

Hola: Creo que ha he procedido con todas las maniobras que se mencionan y no he logrado deshacerme de la maldita pagina de inicio. Search&Destroy y Adware, me dicen que ya me han solucionado el problema, pero no, la cosa sigue. Necesito ayuda porque me estoy empezando a obsesionar. Gracias.

Esto es lo que dice...



Logfile of HijackThis v1.99.1

Scan saved at 0:46:11, on 20/02/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\TOSHIBA\TME3\Tmesbs32.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\PmProxy.exe

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\system32\TPWRTRAY.EXE

C:\Archivos de programa\TOSHIBA\TME3\TMESBS32.EXE

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\TFNF5.exe

C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Archivos de programa\Toshiba\ConfigFree\NDSTray.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Drag'n Drop CD\BinFiles\DragDrop.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\WINDOWS\system32\rundll32.exe

C:\DOCUME~1\JOSÉMA~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JOSÉMA~1\CONFIG~1\Temp\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JOSÉMA~1\CONFIG~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {252AC071-2DF2-44D1-AB7F-BCF7E6340851} - C:\WINDOWS\System32\lhio.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [PmProxy] C:\Archivos de programa\Analog Devices\SoundMAX\PmProxy.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Archivos de programa\TOSHIBA\TME3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 28

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe"

O4 - HKLM\..\Run: [NDSTray.exe] "C:\Archivos de programa\Toshiba\ConfigFree\NDSTray.exe"

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TouchED] C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Archivos de programa\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\JOSÉMA~1\CONFIG~1\Temp\se.dll,DllInstall

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Dialer] C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\MSA32CHK.dll,Reg ActualizaMessenger

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: decora9 - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\decora9\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: decora9 - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\decora9\LanzarDll.exe (HKCU)

O9 - Extra button: PCok - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\PCok\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: PCok - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\PCok\LanzarDll.exe (HKCU)

O9 - Extra button: ActualizaMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\ActualizaMessenger\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: ActualizaMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\ActualizaMessenger\LanzarDll.exe (HKCU)

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} - http://acceso.masminutos.com/software.cab

O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{ABCDCC2B-D01D-4873-AC47-26814171D79A}: NameServer = 212.21.224.3,62.81.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{C20D592E-BBC8-446B-83C1-38C1CB4A8A77}: NameServer = 195.235.113.3 195.235.96.90

O18 - Filter: text/html - {6144CB65-CF65-41C4-8BAE-6E726C354319} - C:\WINDOWS\System32\lhio.dll

O18 - Filter: text/plain - {6144CB65-CF65-41C4-8BAE-6E726C354319} - C:\WINDOWS\System32\lhio.dll

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Archivos de programa\TOSHIBA\TME3\Tmesbs32.exe" /Service (file missing)

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

[caito]

Baja otra vez el hijack pero esta vez gúárdalo en su propia carpeta, por ej: C>Limpiar>Hijack

Baja este programa:(disk cleaner)



http://www.xs4all.nl/~mp2004/





Arranca en Modo Seguro

Cierra todas las aplicaciones(incluso internet)

termina este proceso(ctrl+alt+del):

skynetave.exe

Lanza el Hijack :

scan y luego Fix a estas:



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JOSÉMA~1\CONFIG~1\Temp\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\JOSÉMA~1\CONFIG~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {252AC071-2DF2-44D1-AB7F-BCF7E6340851} - C:\WINDOWS\System32\lhio.dll

O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\JOSÉMA~1\CONFIG~1\Temp\se.dll,DllInstall

O4 - HKCU\..\Run: [Dialer] C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\MSA32CHK.dll,Reg ActualizaMessenger

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present >solo si no has puesto estas restricciones adrede

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present>solo si no has puesto estas restricciones adrede

O9 - Extra button: decora9 - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\decora9\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: decora9 - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\decora9\LanzarDll.exe (HKCU)

O9 - Extra button: PCok - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\PCok\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: PCok - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\PCok\LanzarDll.exe (HKCU)

O9 - Extra button: ActualizaMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\ActualizaMessenger\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: ActualizaMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\ActualizaMessenger\LanzarDll.exe (HKCU)

O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} - http://acceso.masminutos.com/software.cab

O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe

O18 - Filter: text/html - {6144CB65-CF65-41C4-8BAE-6E726C354319} - C:\WINDOWS\System32\lhio.dll

O18 - Filter: text/plain - {6144CB65-CF65-41C4-8BAE-6E726C354319} - C:\WINDOWS\System32\lhio.dll

Cierra el Hijack.

Haz que se vean todos los archivos:

Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.





Busca estos archivos y si están elimínalos:

C:\WINDOWS\skynetave.exe

C:\WINDOWS\System32\MSA32CHK.dll,Reg ActualizaMessenger



Busca esta carpeta y si está elimínala:

C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\decora9\LanzarDll.exe

Borra con el Disk Cleaner:

Archivos temporales de Internet,Temp. de Sistema,cookies,historial.

Vacía la Papelera.

Ejecuta el AdAware SE actualizado al 16/02/05

Reinicia normal

Postea un nuevo log.

Salu2

Caito

[maura63]

Y esta entrada



O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\[color=red]skynetave.exe [/color]



Parece que esta relacionada con el SASSER D.



Saludos

maura63

[paloma]

No sé cómo voy a poder seguir todas vuestras instrucciones porque soy auténticamente profana en estos temas. Veré lo que puedo hacer, pero me da mucho miedo estropear más de lo que vaya a arreglar. ¿?

[maura63]

Aqui encontraras todo al respecto de lo que tienes que hacer.



tutorial anti-spyware



https://foros.zonavirus.com/viewtopic.php?t=5148



Saludos

maura63

[paloma]

Bien, os comunicaré mis avances en el tutorial. Seguro que tenéis noticias mías. Un saludo y reitero: MUCHAS GRACIAS.

Paloma :)

[paloma]

No me lo puedo creer!!!. :D Me parece que ya me he deshecho de esa horrible pagina de inicio secuestradora. Siguiendo vuestras instrucciones e investigando por el tutorial he encontrado ELISTARTPAGE y lo he ejecutado, recuperando asi mi pagina de inicio, pero !Oh, que veo!, sigue apareciendo un aviso de que tengo espias... esto sera de otra guerra no?Ya os contare.

Gracias insisto.

Paloma

[maura63]

Cuando limpies peganos de nuevo un log.



Saludos

maura63

[msc hotline sat]

Esto de que te dicen que tienes espias, es acaso un mensaje en ingles de DANGER...



En tal caso prueba el ELIDANGA



https://foros.zonavirus.com/viewtopic.php?t=5165



Pronto todas las utilidades paralelas a paginas de inicio y aplicaciones que marean al Internet Explorer las incluiremos en el ELISTARA.EXE, que será una macroutilidad para todo esto, además de lo que ya hace. Estamos en ello. Esta misma semana esperamos la subiremos a esta web.



Comentanos el resultado, o amplianos detalles de esto que dices te detecta spywares, como respuesta de este Tema, gracias



saludos



ms, 21-02-2005

[paloma]

Creo que si. He seguido las instrucciones del tutotial: bajar el adware personal SE 1050, el Search&Destroy 1.3 y un parche para el DSO EXPLOIT, que la version no incluye, desactivar restauracion, iniciar en modo de fallos, pasar los programas, reiniciar y volver a restaurar en MI PC.

Asi dicho parece sencillo, pero llevo un monton de dias abducida por este bicho instalando, desinstalando, reiniciando y jurando en arameo, pero creo que ahora ya esta limpio.

Os envio el hijack de los cataplines para ver si "estoy limpia"?.

Tengo alguna (que nos concierna quiero decir, de las otras: SOY UNA DUDA),al grano: quiero saber si cada vez que paso el programa antiespias tengo que seguir todo el proceso de desactivar restaurar y arrancar en modo de prueba o simplemente lo paso tal cual y ya esta.

Otra cosa, me he instalado el SPYWARE GUARD. Bien?

[maura63]

Teniendo residentes spybot y Ad_aware es suficiente. Los pasas en modo normal si detecta alguno que dice no poder solucionar, entonces lo haces en modo seguro y desactivando restaurar sistema.



Por lo menos una vez al mes conviene pasarlos en dicho modo seguro. Si navegas :D mucho por pasarlos una vez por semana no pasa nada, total mientras lo pasas te tomas una cañita fria :lol:



Pega un nuevo log



Saludos

maura63

[paloma]

Esto es lo que sale ahora.

Por lo que me dijisteis antes, sospecho de alguna entrada rarilla no?.

Dime lo que sea, estoy preparada.



Logfile of HijackThis v1.99.1

Scan saved at 16:48:31, on 21/02/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\TOSHIBA\TME3\Tmesbs32.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\PmProxy.exe

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\system32\TPWRTRAY.EXE

C:\Archivos de programa\TOSHIBA\TME3\TMESBS32.EXE

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\TFNF5.exe

C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Archivos de programa\Toshiba\ConfigFree\NDSTray.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Drag'n Drop CD\BinFiles\DragDrop.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\SpywareGuard\sgmain.exe

C:\Archivos de programa\SpywareGuard\sgbhp.exe

C:\DOCUME~1\JOSÉMA~1\CONFIG~1\Temp\Directorio temporal 6 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [PmProxy] C:\Archivos de programa\Analog Devices\SoundMAX\PmProxy.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Archivos de programa\TOSHIBA\TME3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 28

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe"

O4 - HKLM\..\Run: [NDSTray.exe] "C:\Archivos de programa\Toshiba\ConfigFree\NDSTray.exe"

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TouchED] C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Archivos de programa\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: decora9 - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\decora9\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: decora9 - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\decora9\LanzarDll.exe (HKCU)

O9 - Extra button: PCok - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\PCok\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: PCok - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\PCok\LanzarDll.exe (HKCU)

O9 - Extra button: ActualizaMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\ActualizaMessenger\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: ActualizaMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\ActualizaMessenger\LanzarDll.exe (HKCU)

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} - http://acceso.masminutos.com/software.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ABCDCC2B-D01D-4873-AC47-26814171D79A}: NameServer = 212.21.224.3,62.81.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{C20D592E-BBC8-446B-83C1-38C1CB4A8A77}: NameServer = 195.235.113.3 195.235.96.90

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Archivos de programa\TOSHIBA\TME3\Tmesbs32.exe" /Service (file missing)

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE.



Saludos

Paloma

[maura63]

A primera vista



O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe

[color=red]SASSER.D VIRUS[/color]



Saludos

maura63

[maura63]

Y tienes algun programa parecido a esto :?: , lo desconozco



O9 - Extra 'Tools' menuitem: [color=red]decora9[/color] - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\decora9\LanzarDll.exe (HKCU)



Saludos

maura63

[paloma]

Vale, he visto el skinetave.exe, ahora que, marco la casilla y borro?

[maura63]

Arranca en modo seguro y desactiva antes restaurar sistema, lanza hijackthis pulsa scan y la marcas, luego FIX y acepta.



Sabes lo del decora 9, si no sabes lo que es eliminalo igual.



La pagina de terra trae mucha basura, instala spywareblaster que encontraras en el tutorial, instalas, pulsa update, descargas y pulsa en enable protection.



Saludos

maura63

[paloma]

Que ahora mismo lo hago y te cuento.

(yo te invitaba a todas las birras del mundo..l.

Paloma

[maura63]

Y no te olvides de esta



O16 - DPF: {03FBB191-FB50-4154-91D7-587D5E3C3C9A} - http://acceso.masminutos.com/software.cab



[img]http://forums.thetechguys.com/images/smilies/cheers.gif[/img]





Saludos

maura63

[paloma]

Pero, como me voy a olvidar de borrar la 016-DPF?. Tu manda, manda borrar todo lo que quieras, que yo nada,

des-restauro, apago, inicio en modo seguro, lanzo jijacs, marco, borro, escaneo, fijo, lustro y doy esplendor.\Lo hago ya con los ojos cerrados y da como resultado:



Logfile of HijackThis v1.99.1

Scan saved at 18:15:59, on 21/02/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\TOSHIBA\TME3\Tmesbs32.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\PmProxy.exe

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\system32\TPWRTRAY.EXE

C:\Archivos de programa\TOSHIBA\TME3\TMESBS32.EXE

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\TFNF5.exe

C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Archivos de programa\Toshiba\ConfigFree\NDSTray.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Drag'n Drop CD\BinFiles\DragDrop.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

C:\Archivos de programa\SpywareGuard\sgmain.exe

C:\Archivos de programa\SpywareGuard\sgbhp.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\JOSÉMA~1\CONFIG~1\Temp\Directorio temporal 11 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [PmProxy] C:\Archivos de programa\Analog Devices\SoundMAX\PmProxy.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Archivos de programa\TOSHIBA\TME3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 28

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe"

O4 - HKLM\..\Run: [NDSTray.exe] "C:\Archivos de programa\Toshiba\ConfigFree\NDSTray.exe"

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TouchED] C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Archivos de programa\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: PCok - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\PCok\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: PCok - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\PCok\LanzarDll.exe (HKCU)

O9 - Extra button: ActualizaMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\ActualizaMessenger\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: ActualizaMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\ActualizaMessenger\LanzarDll.exe (HKCU)

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ABCDCC2B-D01D-4873-AC47-26814171D79A}: NameServer = 212.21.224.3,62.81.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{C20D592E-BBC8-446B-83C1-38C1CB4A8A77}: NameServer = 195.235.113.3 195.235.96.90

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Archivos de programa\TOSHIBA\TME3\Tmesbs32.exe" /Service (file missing)

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE



Anda hijo mio, miramelo bien, que ya me estoy volviendo locuela.



Otra cosa y creo que sera la ultima. Veo que la pagina de terra es propicia a la basura, por lo que te he entendido. Pongo el google o en blanco?. Aunque al "about blank" ese le he cogido un poco de resquemor. Tu diras.

[maura63]

Limpio.



Y Una vez limpio de parasitos instalar y actualizar este otro programa.



· SpywareBlaster 3.2



versión nueva del SpywareBlaster (3.2 ):

http://www.javacoolsoftware.com/sbdownload.html



descarga, actualiza y pincha en update, cuando se descarguen las mismas simplemente pincha en enable protection.



Este impedira que los conocidos por su base de datos te vuelvan a entrar.



Y de la pagina mejor zonavirus.com :lol: o deja google.



Saludos

maura63

[caito]

Solo para agregar que sospecho de estas entradas :

O9 - Extra button: PCok - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\PCok\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: PCok - {03FBB191-FB50-4154-91D7-587D5E3C0001} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\PCok\LanzarDll.exe (HKCU)

O9 - Extra button: ActualizaMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\ActualizaMessenger\LanzarDll.exe (HKCU)

O9 - Extra 'Tools' menuitem: ActualizaMessenger - {03FBB191-FB50-4154-91D7-587D5E3C0002} - C:\Documents and Settings\José María Romera\Datos de programa\MATRIX\ActualizaMessenger\LanzarDll.exe (HKCU)

Sabes a que corresponden ?

Salu2

Caito

[maura63]

Yo tambien le pregunte antes si tenia algun programa o algo parecido al decora9 o le suena de algo.



Pero aun no ha contestado a eso.



Esperemos Caito no quedarnos con las dudas......



Saludos

maura63

[paloma]

No, no tengo ni idea de lo del decora9, yo por si acaso como me has dicho lo he borrado y estas otras cosillas que me decis, pues tampoco, ni la mas remota idea. Ahora bien, veo Matrix y Messenger y eso me suena a criaturas enredando :x en mi ordenador. Que hago, las borro?.



Ya me he instalado el SpywareBlaster que me habeis dicho. Y desde luego, que parezco tonta, que mi pagina de inicio favorita va a ser: ZONA VIRUS!!!!!.



Como ya lo hago con tanta soltura, no se si cambiar la pagina y enviarnos un log con los jijac para que veais.



Ya no mando saludos, no, mando BESOS GORDISIMOS PARA MAURA Y CAITO, que a partir de ahora son mis idolos.

[maura63]

Pues seguramente se añadirian con los bichos que tenias.



Yo eliminaria.



Saludos

maura63

[paloma]

Ya estan eliminados.

Va el jijac y creo que termino.

Saludos y mi eterno agradecimiento.

Paloma



Logfile of HijackThis v1.99.1

Scan saved at 19:13:36, on 21/02/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Archivos de programa\Analog Devices\SoundMAX\PmProxy.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\WINDOWS\System32\00THotkey.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\system32\TPWRTRAY.EXE

C:\Archivos de programa\TOSHIBA\TME3\Tmesbs32.exe

C:\Archivos de programa\TOSHIBA\TME3\TMESBS32.EXE

C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe

C:\WINDOWS\system32\TFNF5.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Archivos de programa\Toshiba\ConfigFree\NDSTray.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Drag'n Drop CD\BinFiles\DragDrop.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

C:\Archivos de programa\SpywareGuard\sgmain.exe

C:\Archivos de programa\SpywareGuard\sgbhp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\DOCUME~1\JOSÉMA~1\CONFIG~1\Temp\Directorio temporal 15 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zonavirus.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Archivos de programa\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [PmProxy] C:\Archivos de programa\Analog Devices\SoundMAX\PmProxy.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Archivos de programa\TOSHIBA\TME3\TMESBS32.EXE /Client

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 28

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Archivos de programa\TOSHIBA\Wireless Hotkey\TosHKCW.exe"

O4 - HKLM\..\Run: [NDSTray.exe] "C:\Archivos de programa\Toshiba\ConfigFree\NDSTray.exe"

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TouchED] C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [Drag'n Drop CD] C:\Archivos de programa\Drag'n Drop CD\BinFiles\DragDrop.exe /StartUp

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Startup: SpywareGuard.lnk = C:\Archivos de programa\SpywareGuard\sgmain.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Consola KIT Terra ADSL.lnk = C:\Archivos de programa\Terra\Kit Terra ADSL\DSLMON.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ABCDCC2B-D01D-4873-AC47-26814171D79A}: NameServer = 212.21.224.3,62.81.0.1

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Tmesbs32 (Tmesbs) - Unknown owner - C:\Archivos de programa\TOSHIBA\TME3\Tmesbs32.exe" /Service (file missing)

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE



MUCHISIMAS GRACIAS.

[maura63]

Preterito PERFECTO.



No olvides actualizar los anti-spyware y tu antivirus siempre al dia y residente.



Solucionado que lo cierren.



Saludos

maura63

[paloma]

Ha sido un autentico hallazgo dar contigo. Otra vez: gracias por tus conocimientos, tu paciencia y tu amabilidad.



Un placer, de verdad. Saludos. :D :D :D



Paloma



P.D. No olvido las recomendaciones: actualizar y siempre al dia.

[maura63]

No hay de que, un placer poder ayudar.



Saludos

maura63 [img]http://forums.thetechguys.com/images/smilies/cheers.gif[/img]

[msc hotline sat]

Pues solucionado el problema, cerramos el Tema, si bien la entrada que se eliminó correspondiente al virus SASSER:



O4 - HKLM\..\Run: [skynetave.exe] C:\WINDOWS\skynetave.exe

SASSER.D VIRUS



ss típica de dicho virus y los antivirus deben eliminarla al detectar dicho virus. O no tenías en antivirus actualizado o no actuó adecuadamente, quizás eliminó el gusano sin restuarar dicha clave. Solo a título dee informacion, para que vigiles al respecto.



Tema cerrado.



saludos



ms, 23-02-2005