Problemas de publicidad emergente y lentitud (SOLUCIONADO)

luisdc2k · Mensaje por **luisdc2k** » 24 Jun 2007, 06:55

Hola necesito si me pueden ayudar con el probema de publicidad emergente y lentitud en la maquina.

Les paso el log hijack que lo saque en modo a prueba de fallos.

Ya pase el adware,el spybot,c cleaner,elistara,instale el spyware blaster,pase el panda que tuve que bajar momentaneamente por que el norton que tenia(2006) se bloqueo y no me dejaba ponerlo en funcionamiento(luego no me dejaba desinstalarlo,lodesinstale con la herramienta de desinstalacion y al reinnstalarlo me daba un error de instalacion).

Desde ya muchas gracias por la ayuda.

Logfile of HijackThis v1.99.1

Scan saved at 12:17:00 a.m., on 24/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\LUIS\Mis documentos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clarin.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\tmp28.tmp.dll

O2 - BHO: (no name) - {50e4b09a-cfe2-4070-85f1-d1a65b716b94} - C:\WINDOWS\system32\bdapec6.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O2 - BHO: (no name) - {796821EB-69D6-4C0D-ADA0-DADF0D720F38} - (no file)

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMax] "C:\Archivos de programa\Analog Devices\SoundMAX\SMax4.exe" /tray

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\CA-85UR+\ADSL\CnxDslTb.exe

O4 - HKLM\..\Run: [TVTray] C:\ARCHIV~1\ENLTV\ENLTV\TVTray.exe

O4 - HKLM\..\Run: [MSrui] C:\windows\system32\msmrtmon.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\Inicio.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Inicio rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {038318E8-0C2D-4DF5-A7AF-B4FB373F501E} - http://download.henbang.net/download/updatelist/helper.cab

O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121726428234

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1121384663281

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.shockwave.com/content/luxoramunrising/sis/mjolauncher.cab

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} -

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/chuzzle/sis/popcaploader_v10.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: bdapec6 - C:\WINDOWS\SYSTEM32\bdapec6.dll

O20 - Winlogon Notify: dmrs32 - dmrs32.dll (file missing)

O20 - Winlogon Notify: dpnnap - dpnnap.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: DomainService - Unknown owner - C:\Documents and Settings\LUIS\Datos de programa\tmp9.tmp.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe

O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software International - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda software\panda internet security 2007\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\psimsvc.exe

O23 - Service: SuperTV Pro Remote Control Service (RemoteControlService) - Unknown owner - C:\Archivos de programa\ENLTV\RemoteService\RS.exe

O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\TPSrv.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

Mensaje por **msc hotline sat** » 24 Jun 2007, 11:43

Envianos estos ficheros sospechosos para analizar:

C:\WINDOWS\system32\tmp28.tmp.dll

C:\WINDOWS\system32\bdapec6.dll

C:\windows\system32\msmrtmon.exe

C:\WINDOWS\SYSTEM32\bdapec6.dll

y elimina:

http://download.henbang.net/download/updatelist/helper.cab

O20 - Winlogon Notify: dmrs32 - dmrs32.dll (file missing)

O20 - Winlogon Notify: dpnnap - dpnnap.dll (file missing)

O23 - Service: DomainService - Unknown owner - C:\Documents and Settings\LUIS\Datos de programa\tmp9.tmp.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 24-06-2007

Mensaje por **msc hotline sat** » 26 Jun 2007, 18:06

Recibidos ficheros para analizar, son VUNDO7, SDowlnoader COOHOOK-2 y JuanSearch, que se implementarn en las versiones de hoy del ELISTARA/ELINOTIF:

A partir de las 20 h G;T estaran disponibles en esta web para evaluaicon:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 26-06-2007

luisdc2k · Mensaje por **luisdc2k** » 27 Jun 2007, 04:29

Hola, gracias por las indicaciones ya les envie las muestras y el c/infosat.text para que lo revisen.

Es normal que para eliminar en este caso al downLoader.ConHook2(notify)tuve que pasar el elistara un par de vecez ?.

Saludos

Luisdc2k

Mensaje por **msc hotline sat** » 27 Jun 2007, 07:07

Dice "...y el c/infosat.text para que lo revisen. "

No deben enviarse los ficheros de texto, pues no se pueden monitorizar !

Solo enviar muestras sospechosas

Los ficheros txt y logs de informes, deben postearse en el foro, con un copiar y pegar de su contenido:

https://foros.zonavirus.com/viewtopic.php?f=1&t=17488

Y justamente el CONHOOK Es uno de los que precisa que el ELISTARA instale la DLL ELINOTIF en el registro para que en el siguiente reincio pueda eliminarlo antes de que se ponga en marcha, porque de lo contrario no hay manera, ni arrancando en modo seguro.

Pero veamos el infosat.txt para ver el resultado del proceso ...

saludos

ms, 27-06-2007

Mensaje por **msc hotline sat** » 28 Jun 2007, 18:33

Recibido malware que resulta ser una variante de JUANSEARCH que pasamos a controlar y eliminar con el ELISTARA 14.30 de hoy

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Antes de las 20 h GMT lo subiremos a esta web para pruebas de evaluacion

saludos

ms, 28-06-2007

luisdc2k · Mensaje por **luisdc2k** » 02 Jul 2007, 03:01

Hola les envio el contenido de c/infosat para su evaluacion.

Espero que esta vez sea de la forma adecuada.

Disculpas y saludos.

Wed Jun 27 07:00:30 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jun 27 07:00:47 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Jun 29 00:00:41 2007

EliStartPage v14.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jun 29 00:00:51 2007

EliStartPage v14.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Franco.LUIS-DC\Configuración local\Temp\TMP5.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\TMP3F.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\TMP6D.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\TMPD.TMP.DLL.VIR --> Eliminado, JuanSearch(BHO)

Fri Jun 29 00:09:54 2007

EliStartPage v14.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jun 29 00:10:04 2007

EliStartPage v14.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Jul 01 00:32:52 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Jul 01 00:32:59 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Sun Jul 01 20:44:00 2007

EliTriIP v3.71 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sun Jul 01 20:44:09 2007

EliTriIP v3.71 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Motorola Phone Tools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

Mensaje por **msc hotline sat** » 02 Jul 2007, 07:26

Pues se detectó y eliminó el troyano en cuestion:

Fri Jun 29 00:00:51 2007

EliStartPage v14.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Franco.LUIS-DC\Configuración local\Temp\TMP5.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\TMP3F.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\TMP6D.TMP.DLL --> Eliminado, JuanSearch(BHO)

C:\WINDOWS\system32\TMPD.TMP.DLL.VIR --> Eliminado, JuanSearch(BHO)

Tras ello comentenos si persiste alguna anomalia o si considera solucionado el problema, gracias

saludos

ms, 2-07-2007

luisdc2k · Mensaje por **luisdc2k** » 03 Jul 2007, 06:53

Ya se soluciono el problema ,muchas gracias por la ayuda brindada.

Saludos.

Luisdc2k

Mensaje por **msc hotline sat** » 03 Jul 2007, 15:21

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 3 de Julio de 2007