Andy1 Ayuda!!

[Bird]

Hola a todos



Hace un par de horas todo comenzo a correr mal en mi computadora...

En mi escritorio aparece un icono que dice Andy1 , bajé la última version del spybot y funcione me quito el icono, pero ha cambiado mi pagina de inicio por esta : http://ssearch.biz/?wmid=1010, ademas de desconectarme a cada momento... utilizé el spybot pero no se si haya sido de la forma correcta...



Además desinstalo mi barra de google para los pop-ups y cancelo mi botón de "atrás" del navegador de internet.



Porfavor necesito su ayuda...



gracias de antemano.



Saludos

[caito]

Baja esta utilidad ( Si tienes wME o XP deshabilita Restaurar Sistema y córrela en Modo Seguro ) :



Eliminación de paginas de inicio en el internet explorer y no restaurables, dialers, etc:

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Cwshredder

Sitio 1 - Descargar Cwshredder

http://www.aluriasoftware.com/tools/cwshredder.zip

----------------------------------------------------------------

Sitio 2 - Descargar Cwshredder desde zonavirus.com

http://www.zonavirus.com/descargas/trend-micro-cwshredder.asp

Comenta el resultado.

Salu2

Caito

[msc hotline sat]

Complemento el anterior post de maura63 con la indicación de que si detectas algo con el CWSHREDDER, pulses la pestaña de FIX que te aparece en la partte inferior, y así solucionar el problema.



Quizás ya se te hubiera ocurrido, pero si no conoces el programa, te será muy util



saludos



ms, 06-08-2004

[maura63]

Que Msc..... hoy ya con el gusanillo de las vacaciones ves al abuelo Maura63 por doquier? :D :D :D :D





Saludos

maura63

[msc hotline sat]

Pues sí, éstaba contestando un privado tuyo y se me cruzaron los cables. Suerte que Caito estará durmiendo, pues es del otro lado del Oceano.



En cualquier caso, disculpas a los dos



saludos



ms, 06-08-2004

[caito]

La verdad es que un verdadero honor que me confundas con tan prestigioso forero, espero que cuando diga alguna "burrada" procedas de la misma manera :D

Salu2

Caito

[maura63]

No hay problema Caito, aqui todos tenemos DERECHO a equivocarnos, asi vamos aprediendo todos de todos.



Saludos

maura63

[Bird]

:cry:



Voy de mal en peor...bajé el spybot-serach&destroy, elimino el icono de Andy1, pero al conectarme sigue abriendo la misma pagina, con el ad-aware igual y bajé tmb el Cwshredder y todo sigue igual, bajé el norton 2004 y detecta el bloodhuond.exploit.6 pero no lo puede reparar, simplemente lo mete en cuarentena.



Ya he corrido todos estos programas actualizando, en modo seguro y deshabilitando restaurar sistema...ahora el ad-aware me detecta un archivo llamado "alexa" y el DSO/Exploit, y cuando scaneo con el norton aparece el bloodhound.exploit.6, pero me dice q no lo puede reparar...



Al conectarme sigue cancelando la pagina de inicio de mi provedor de internet y conecandose al anterior link...pero este a su vez abre otra pagina la cual solo aparece en la barra de tareas...y no la puedo ver...aparece un mensaje q dice algo de q no se puede correr la pagina sin algo de cookies y q puede q no se muestre la pagina completa...depues de ese aparece otro q me dice q para continuar tengo q clickar en aceptar...despues de eso me traba explorer y tengo q finalizarlo en las tareas...



Ya actualize todo lo q pude con el windows update y todo sigue igual...



no se q mas pueda hacer...



Agradezco cualquier ayuda q me puedan brindar...



Saludos :wink:

[maura63]

Sobre el exploit 6 consulta link



https://foros.zonavirus.com/viewtopic.php?p=9302#9302



Conecta con windows update y mira que no te falte alguna actualizacion.



Sobre Alexa, Spybot debe solucionarte el problema y mira que tengas el programa actualizado.



Saludos

maura63

[Bird]

Pues creo q nunca voy a salir de esto, ahora me aparece un pagina de contenido xxx q no la puedo cerrar...reinicie mi computadora y sigue apareciendo pero en balnco...



algún último recurso.????



gracias



Saludos

[caito]

Creo que lo mejor es que uses el HijakThis para ver que es lo que tienes en tu pc :

http://www.majorgeeks.com/download3155.html

tras pasar hijackthis se pulse SAVE y el archivo log que genera hacerle un copiar y pegar pues nos mostrara parte de lo que se carga en c.

Envía el log que te arroja el programa ( para ejecutarlo cierra todas las aplicaciones incluso tu conección a Internet).

Salu2

Caito

[Bird]

Gracias Caito aki te muestro mi log...



Logfile of HijackThis v1.98.2

Scan saved at 11:15:52 p.m., on 11/08/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\MMKEYBD.EXE

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\GNOHEPKE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\KEYBDMGR.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\ONSCREEN DISPLAY\OSD.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\MMUSBKB2.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\HPSYSDRV.EXE

C:\WINDOWS\MCBIN\AV\RT\MGAVRTCL.EXE

C:\WINDOWS\SYSTEM\USBMMKBD.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\HIDSERV.EXE

C:\WINDOWS\MCBIN\AV\RT\MGAVRTE.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\TELMEX\PRODIGY INFINITUM\APP\TANGOMANAGER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

C:\QCACHE.EXE

C:\ARCHIVOS DE PROGRAMA\HP DESKJET 610C SERIES\EREG\REMIND32.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F1 - win.ini: run=hpfsched

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [mgavrtclexe] C:\WINDOWS\MCBin\AV\Rt\mgavrtcl.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [USBMMKBD] usbmmkbd.exe

O4 - HKLM\..\Run: [Keyboard Manager] C:\Archivos de programa\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [TangoManager] C:\ARCHIV~1\TELMEX\PRODIG~1\APP\TANGOM~1.EXE

O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe

O4 - HKLM\..\Run: [Symantec Core LC] C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe start

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Cache] C:\QCACHE.EXE

O4 - HKLM\..\RunServices: [Keyboard Manager] c:\Archivos de programa\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [mgavrtclexe] C:\WINDOWS\MCBin\AV\Rt\mgavrte.exe

O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [DNSCache] C:\WINDOWS\SYSTEM\GNOHEPKE.exe

O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe"

O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe"

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - Startup: Reminder-hpc41004.lnk = C:\Archivos de programa\HP DeskJet 610C Series\ereg\Remind32.exe

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Backward &Links - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O14 - IERESET.INF: START_PAGE_URL=http://hp.my.yahoo.com

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4385/mcfscan.cab



de antemano gracias---



Saludos :)

[maura63]

Antes de eliminar manualmente algo pasa estos programas



Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



Nueva version de Ad_aware SE



http://www.lavasoft.de/news/20040809.shtml



Saludos

maura63

[Bird]

Solo una pregunta antes de seguir tus consejos..en que momento tengo q inmunizar? antes o despues de ralizar la escaneada, o despues de habler eliminado los archivos q encuentre ?



Cuando lo hice en veces anteriores, al final me aparece un mensaje q eu dice q se han inmunizado 1533 archivos y q quedan 59, por inmunizar. porfavor inmunize.



A q se refiere con esto?



Saludos

[cañera]

pues eso vuelve a inmunizar,si te dice que faltan esos por hacerlo.

mira si se te soluciona el problema.

esperamos respuesta.

[Bird]

Pues ya corri el Spybot-Search&destroy- y me detecta el DSO EXPLOIT, inmunizo, y lo elimino, despues corró el ad- aware y no me detecta nada. Ambos ya estan actualizados y corridos en modo seguro y deshabilitando restaurar sistema. y me sigue abriendo la misma pagina cuando me conectó, primero dice q no encuentra la pagina de inicio, despues aparece acción cancelada y desues me habre esta página : http://ssearch.biz/?wmid=1010, y ya estoy cansado...



Cada vez q me conecto, ahora pongo "DETENER" en mi navegador para q no acaba de cargar esta página, pero en ese momento aparecen dos mas en la barra de tareas, se cargan y desaparecen...



Cualquier ayuda q me puedan brindar despues de todo esto...m



Muchas gracias





Saludos

[Bird]

Hola a todos, tengo nuevas noticias acerca d emi problema:



AL correr el hijack this, en la barra azul hasta arriba de la ventana del programa donde dice el nombre de este, aparece la siguiente frase: "015 Trusted Zone" con letras rojas, por unos instantes mientras realiza el scan, y luego desaparece, esta frase es la misma que aparece en la página de inicio que ya les comenté, la que no me deja abrir links y se abre cada vez q me conecto, además de abrir otras dos iguales q luego desaparecen.



Pero al momento de buscarlo en la lista del log, no lo encuentro de hecho del 014 se salta al 016...es posible q si lo encuentre, pero de alguna forma lo saque del log???



Graciar por cualquier ayuda q me puedan brindar.



Saludos-

[cañera]

pasa el hijackthis en a modo prueba de errores y mira si te sale esa clave(la 015) y eliminala.

mira si se te resuelve de esa manera el problema.

cuentanos como te fue.

[maura63]

Elimina con hijackthis estas dos entradas



F1 - win.ini: run=hpfsched



O14 - IERESET.INF: START_PAGE_URL=http://hp.my.yahoo.com



Modo seguro y desactiva restaurar sistema.



Saludos

maura63

[Bird]

Gracias maura63 y cañera, ya seguí sus pasos, elimine lo que me indicaste maura, y por otra parte en modo seguro no aparece la calve 015 y la tediosa pagina sigue aki...también eh notado que cada vez que elimino los archivos temporales de internet, se tarda mas de lo que se tardaba antes de mi problema.



Las claves 016, me parecen sospechosas, ya que yo no visito esas direcciones que vienen ahi, ni tengo corriendo el MSN, tampoco el macafee...igualmente la R1 y la R0, ya que tampoco visito yahoo.



Logfile of HijackThis v1.98.2

Scan saved at 01:07:43 p.m., on 15/08/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\MMKEYBD.EXE

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\GNOHEPKE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\KEYBDMGR.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\ONSCREEN DISPLAY\OSD.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\ARCHIVOS DE PROGRAMA\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\MMUSBKB2.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\HPSYSDRV.EXE

C:\WINDOWS\MCBIN\AV\RT\MGAVRTCL.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\USBMMKBD.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\HIDSERV.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\TELMEX\PRODIGY INFINITUM\APP\TANGOMANAGER.EXE

C:\WINDOWS\MCBIN\AV\RT\MGAVRTE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

C:\ARCHIVOS DE PROGRAMA\HP DESKJET 610C SERIES\EREG\REMIND32.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [mgavrtclexe] C:\WINDOWS\MCBin\AV\Rt\mgavrtcl.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [USBMMKBD] usbmmkbd.exe

O4 - HKLM\..\Run: [Keyboard Manager] C:\Archivos de programa\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [TangoManager] C:\ARCHIV~1\TELMEX\PRODIG~1\APP\TANGOM~1.EXE

O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe

O4 - HKLM\..\Run: [Symantec Core LC] C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe start

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\RunServices: [Keyboard Manager] c:\Archivos de programa\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [mgavrtclexe] C:\WINDOWS\MCBin\AV\Rt\mgavrte.exe

O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [DNSCache] C:\WINDOWS\SYSTEM\GNOHEPKE.exe

O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe"

O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe"

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - Startup: Reminder-hpc41004.lnk = C:\Archivos de programa\HP DeskJet 610C Series\ereg\Remind32.exe

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4385/mcfscan.cab



Muchas gracias por so continua ayuda...cualquier consejo sera bien recibido



Saludos!

[cañera]

elimina esas entradas que tu mismo dices pero hazlo en a modo seguro.

como pagina de inicio no veo naita.

descargate el programa spywareblaster y pasaselo en a modo seguro despues de haberle pasado el spybot y adaware.

cuentanos como te fue.

[Bird]

Acabo de correr el CWShredder y me encuentra lo siguiente...



Windows ME (4.90.3000 )

Windows dir: C:\WINDOWS

Windows system dir: C:\WINDOWS\system

AppData folder: C:\WINDOWS\Application Data

Username: Alfredo



Hosts file not present

Found CWS.Control (if filesize is over 50k) file: C:\WINDOWS\control.exe (2199 bytes, A)

CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com [*] dword:4

CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwwwsearch.com [*] dword:4

CWS.Googlems.2 (if value is 2) Registry value: Domains: *.xxxtoolbar.com [*] dword:4

CWS.Googlems.4 (if value is 2) Registry value: Domains: *.teensguru.com [*] dword:4

Registry value: DefaultPrefix (should be http://) [] http://

Registry value: WWW Prefix (should be http://) [www] http://

Registry value: Mosaic Prefix (should be http://) [mosaic] http://

Registry value: Home Prefix (should be http://) [home] http://

Found Win.ini file: C:\WINDOWS\win.ini (9626 bytes, A)

Found line in Win.ini: load=

Found line in Win.ini: run=

Found System.ini file: C:\WINDOWS\system.ini (2314 bytes, A)

Found line in System.ini: shell=Explorer.exe



- END OF REPORT -



Sin embargo le doy Fix y siguen apareciendo...



Gracias cañera voy a hacerlo y ahorita regreso para avisar como me fue...



:wink:

[cañera]

pasa el CWShredder en a modo prueba de errores y eliminas las entradas de esa manera.ok?

cuentanos como te fue.

[maura63]

Pasa el cws y ademas ten en cuenta esto



VSantivirus No. 1267 Año 8, viernes 26 de diciembre de 2003



VBS/Zikdow.B. Modifica WIN.INI y registro

http://www.vsantivirus.com/zikdow-a.htm



Nombre: VBS/Zikdow.B

Tipo: Caballo de Troya de Visual Basic Script

Alias: Zikdow.B, VBS_ZIKDOW.B, Zikdow-Worm

Plataforma: Windows 32-bit

Tamaño: 4,927 bytes

Fecha: 25/dic/03



Este troyano corrompe el archivo WIN.INI, y borra algunas claves del registro.



Cuando se ejecuta, este script modifica las siguientes entradas del registro, con la intención de autoejecutarse en cada reinicio del sistema infectado:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

(Predeterminado) = "regedit -s c:\$ntuninstallq8875736$\!3721.cer"

= "regedit -s c:\$ntuninstallq8875736$\!3721.cer"

0 = "regedit -s c:\$ntuninstallq8875736$\!3721.cer"

z = "regedit -s c:\$ntuninstallq8875736$\!3721.cer"

LogFeil = "regedit -s c:\$ntuninstallq8875736$\!3721.cer"



Para ejecutar automáticamente el archivo INTERNAT.EXE, agrega las siguientes entradas:



HKLM\Software\Microsoft\Windows\CurrentVersion\Run

INTERNAT.EXE = "INTERNAT.EXE"



Luego borra las siguientes entradas:



HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\Run



Luego accede al archivo C:\WINDOWS\WIN.INI, y borra toda cadena existente después de RUN= u LOAD=



Nota: INTERNAT.EXE es también un archivo legítimo de Windows, que habilita el idioma del teclado, formato de fecha, etc., por lo que la presencia del mismo en los directorios SYSTEM o SYSTEM32, no significa necesariamente una infección con este virus.





Reparación manual



Antivirus



1. Actualice sus antivirus con las últimas definiciones

2. Ejecútelos en modo escaneo, revisando todos sus discos

3. Borre los archivos detectados como infectados





Editar el registro



Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.



1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER



2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:



HKEY_LOCAL_MACHINE

\SOFTWARE

\Microsoft

\Windows

\CurrentVersion

\Run



3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las siguientes entradas:



(Predeterminado) = "regedit -s c:\$ntuninstallq8875736$\!3721.cer"

= "regedit -s c:\$ntuninstallq8875736$\!3721.cer"

0 = "regedit -s c:\$ntuninstallq8875736$\!3721.cer"

z = "regedit -s c:\$ntuninstallq8875736$\!3721.cer"

LogFeil = "regedit -s c:\$ntuninstallq8875736$\!3721.cer"

INTERNAT.EXE = "INTERNAT.EXE"



4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.



5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).





Información adicional



Mostrar las extensiones verdaderas de los archivos



Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:



1. Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.





Limpieza de virus en Windows Me y XP



Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:



Limpieza de virus en Windows Me

http://www.vsantivirus.com/faq-winme.htm



Limpieza de virus en Windows XP

http://www.vsantivirus.com/faq-winxp.htm





Saludos

maura63