en el IE no para de salirme publicidad (SOLUCIONADO)

[pussmu]

en el IE de mi pc hay mucha publida no dejan de salir ventanas le he pasado unos quantos antivirus, no se quantos programas antispias y no hay manera este es mo log:





Logfile of HijackThis v1.99.1

Scan saved at 0:25:26, on 05/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Miguel Angel\Escritorio\5\Nueva carpeta (2)\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\regedit /s C:\pav.reg,C:\WINDOWS\system32\pavdr.exe,C:\WINDOW S\system32\userinit.exe,

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar4.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164 \swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll

O4 - HKLM\..\Run: [LiveNote] livenote.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [DataLayer] C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [Anvshell] anvshell.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WLAN11gSTA.EXE] "C:\Archivos de programa\WLAN11G\WLAN11gSTA.EXE" /START

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [hqisdbnfwa] c:\windows\system32\hqisdbnfwa.exe hqisdbnfwa

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Archivos de programa\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Pinnacle Scheduler.lnk = ?

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124642146953

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{844EABF3-5FC3-401D-A0E0-7EAD44F98D59}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: AVCore (SrvMain) - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\avservice.exe (file missing)

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

[msc hotline sat]

Tienes instalado el messenger Plus, que es un foco de adwares !:



O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"



Elimina esta clave o desinstalalo





Y tienes dos entradas sospechosas:



O4 - HKLM\..\Run: [hqisdbnfwa] c:\windows\system32\hqisdbnfwa.exe hqisdbnfwa



O23 - Service: AVCore (SrvMain) - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\avservice.exe (file missing)





mira de enviarnos estos dos ficheros para analizar:





c:\windows\system32\hqisdbnfwa.exe (probablemente es una variante del navipromo)



C:\Documents and Settings\All Users\Datos de programa\avservice.exe



mira si encuentras estos ficheros (el ultimo puede estar con atributos de oculto)







->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 5-07-2007

[pussmu]

hola msc hotline sat

estos ficheros no los enquentro para poder mandartelos no esta:O4 - HKLM\..\Run: [hqisdbnfwa] c:\windows\system32\hqisdbnfwa.exe hqisdbnfwa



O23 - Service: AVCore (SrvMain) - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\avservice.exe (file missing)



como te los puedo mandar para que los analizen

[pussmu]

he puesto el pc para mostrar archivos ocultos y he arancado en modo seguro y bueno he enctrado uno este: O4 - HKLM\..\Run: [hqisdbnfwa] c:\windows\system32\hqisdbnfwa.exe hqisdbnfwa lo he mandado para analizar el otro no lo encuentro no se de que manera puedo hacerlo para poder enviarlo este es el que no veo:O23 - Service: AVCore (SrvMain) - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\avservice.exe (file missing) Gracias

[msc hotline sat]

Pues envia el que tengas, y del otro ya puedes eliminar la clave



De todas formas, además, prueba el ELISTARA, a ver lo que nos dice:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 5-07-2007

[pussmu]

hola msc hotline sat ya te mande el archivo con ELISTARA me asalido esto:













Thu Jul 05 16:30:58 2007

EliStartPage v14.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HQISDBNFWA.EXE.Muestra EliStartPage v14.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HQISDBNFWA.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

Entrada Eliminada [HKLM\...\Run] "HQISDBNFWA"="c:\windows\system32\hqisdbnfwa.exe hqisdbnfwa"

Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Linea Eliminada del HOSTS --> 127.0.0.1 pagead2.googlesindication.com

Linea Eliminada del HOSTS --> 127.0.0.1 ad.esp.doubleclick.net

Linea Eliminada del HOSTS --> 127.0.0.1 banner.weworkwel.net

Linea Eliminada del HOSTS --> 127.0.0.1 adsserver.ya.com

Linea Eliminada del HOSTS --> 127.0.0.1 sm6.decoramovil.com

Linea Eliminada del HOSTS --> 127.0.0.1 inpes.tradedoubler.com

Linea Eliminada del HOSTS --> 127.0.0.1 wwww.miapuesta.com

Linea Eliminada del HOSTS --> 127.0.0.1 /\Wgoogle(adsservices|syndycation)\W/



Thu Jul 05 16:42:25 2007

EliStartPage v14.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 pagead2.googlesindication.com

Linea Eliminada del HOSTS --> 127.0.0.1 ad.esp.doubleclick.net

Linea Eliminada del HOSTS --> 127.0.0.1 banner.weworkwel.net

Linea Eliminada del HOSTS --> 127.0.0.1 adsserver.ya.com

Linea Eliminada del HOSTS --> 127.0.0.1 sm6.decoramovil.com

Linea Eliminada del HOSTS --> 127.0.0.1 inpes.tradedoubler.com

Linea Eliminada del HOSTS --> 127.0.0.1 wwww.miapuesta.com

Linea Eliminada del HOSTS --> 127.0.0.1 /\Wgoogle(adsservices|syndycation)\W/

Eliminados Ficheros Temporales del IE



Thu Jul 05 16:42:59 2007

EliStartPage v14.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Thu Jul 05 16:46:29 2007

EliStartPage v14.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Thu Jul 05 19:11:43 2007

EliStartPage v14.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 05 19:12:42 2007

EliStartPage v14.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Miguel Angel\Escritorio\pokerpc\[PocketPC].SPB.Weather.v1.0.1.Spanish\SPBWEATHER_SETUP_ES.EXE --> Eliminado, Vundo4

C:\Documents and Settings\Miguel Angel\Escritorio\portatil\(codec) divx total pack 1 8 + indeo 5 2 xp\DIVX_TOTAL_PACK1.8.EXE --> Eliminado, Guiños(msn)

C:\Documents and Settings\Miguel Angel\Escritorio\portatil\Copia de (codec) divx total pack 1 8 + indeo 5 2 xp\DIVX_TOTAL_PACK1.8.EXE --> Eliminado, Guiños(msn)

[pussmu]

hola msc hotline sat he estado navengado con IE y de momento no me sale nada de publicidad parece un milagro que descanso.por fin SOLUCIONADO gracias. msc hotline sat

un cordial saludo

[msc hotline sat]

Mañana analizaremos el fichero enviado, pero seguro que es un navipromo que ya está en cuarentena



De todas formas no cierro el tema para que nos puedas postear el infosat.txt tras probar las utilidades e mañana 6 de Julio



saludos



ms, 5-07-2007

[msc hotline sat]

Efectivamente, es un navipromo que pasamos a controlar con la version de hoy 14.36, que estara disponible en esta web para pruebas de evaluacion a partir de las 16 H GMT



saludos



ms, 6-07-2007

[pussmu]

Gracias msc hotline sat por anlizar el archivo.de toda maneras es curioso no me funcionava el Microsoft Outlook y tampoco el Microsoft frontpage me ponia algo asin de que no era usuario final y no funcionava y ha hora mefunciona todo no si influlle este tipo de virus en estos programas desde luego que desde que le emos quitado las pulgas parece otro. :lol:

[msc hotline sat]

Recuerde que tenía mas cosas que ya hemos eliminado... :



EliStartPage v14.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Miguel Angel\Escritorio\pokerpc\[PocketPC].SPB.Weather.v1.0.1.Spanish\SPBWEATHER_SETUP_ES.EXE --> Eliminado, Vundo4

C:\Documents and Settings\Miguel Angel\Escritorio\portatil\(codec) divx total pack 1 8 + indeo 5 2 xp\DIVX_TOTAL_PACK1.8.EXE --> Eliminado, Guiños(msn)

C:\Documents and Settings\Miguel Angel\Escritorio\portatil\Copia de (codec) divx total pack 1 8 + indeo 5 2 xp\DIVX_TOTAL_PACK1.8.EXE --> Eliminado, Guiños(msn)



Todos trastocan registro, memoria y aplicaciones que se carguen, asi que pueden haber sido un poco todas.



A partir de las 16 h GMT, prueba la nueva version y nos comentas el resultado, gracias



saludos



ms, 6-07-2007

[pussmu]

esto ha quedado asin infosat.txt:





Fri Jul 06 14:29:24 2007

EliStartPage v14.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jul 06 14:29:35 2007

EliStartPage v14.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\





gracias

[msc hotline sat]

Acabo de subir la 14.36, descarguela y pruebela...



saludos



ms, 6-07-2007

[pussmu]

Aqui tienes el resultado de la 14.36 infosat.txt:







Fri Jul 06 16:34:36 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jul 06 16:34:44 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\HQISDBNFWA.EXE.MUESTRA ELISTARTPAGE V14.35 --> Eliminado, NaviPromo(dropper)

C:\RECYCLER\S-1-5-21-1229272821-1844823847-725345543-1003\DC12.EXE --> Eliminado, NaviPromo(dropper)

[msc hotline sat]

Perfecto, como era de esperar, detectados y eliminados los ultimos troyanos conocidos.



Reinicie y vea si ya no persiste ninguna anomalia y tras ello daremos por solucionado el Tema



saludos



ms, 6-07-2007

[pussmu]

pues la cosa ha quedado asin:









Fri Jul 06 23:50:25 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jul 06 23:50:28 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\









Gracias msc hotline sat

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 7 de Julio de 2007