Aviso spyware, ayuda por favor

gus29 · Mensaje por **gus29** » 10 Jul 2007, 07:07

Hola, soy nuevo aqui, bueno mi problema es que en la barra de tareas me sale un icono rojo con un signo de admiracion como que avisandome, no se como poner la imagen aqui, bueno el caso es que no se quita para nada y luego me salen avisos de que tengo un spyware, luego me sale un fondo de pantalla rojo con un simbolo de virus y cuando le doy click me lleva a una pagina rara pero me descarga algo y no se que es, tambien me aparecen paginas de la nada que dicen que instale su anti-spyware pero yo no confio de esos, por favor ayudenme, que puedo hacer para quitar el virus o lo que tenga, o como le hago para quitar ese mensaje :( muchas gracias espero su respuesta y saludos :wink:

Mensaje por **msc hotline sat** » 10 Jul 2007, 07:14

De entrada parece un FAKE ALERT, prueba el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Saludos

ms, 10-07-2007

gus29 · Mensaje por **gus29** » 10 Jul 2007, 20:01

Si funciono, ya se quito ese aviso, muchas gracias. Saludos

Tue Jul 10 11:30:31 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\LMIINIT] -> C:\WINDOWS\SYSTEM32\LMIinit.dll

C:\WINDOWS\180AX.EXE --> Eliminado

C:\WINDOWS\SALM.EXE --> Eliminado

C:\WINDOWS\2020SEARCH2.DLL --> Eliminado

C:\WINDOWS\SATMAT.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\EXPRO.DLL.Muestra EliStartPage v14.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\EXPRO.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\VPSSUP.DLL.Muestra EliStartPage v14.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\VPSSUP.DLL --> Renombrado a .VIR

C:\WINDOWS\BI.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\LMIINIT.DLL --> RemoteAdmin(lmiinit) Renombrado a .VIR

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\WINDOWS\SUSP.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\CFLCFV5.DLL --> Eliminado FlashMedia(v5)(BHO)

C:\ARCHIV~1\3721\ASSIST\ASSIST.DLL --> Eliminado Cnsmin (TB)

C:\WINDOWS\SYSTEM32\CONFL.DLL --> Eliminado FlashMedia(v4.1)(BHO)

C:\WINDOWS\DIDDUID.INI --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Leonor Castellanos\Favoritos\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Leonor Castellanos\Favoritos\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Leonor Castellanos\Favoritos\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKLM\...\Run] "Install.exe"="C:\WINDOWS\svchost.exe"

Eliminada Class, "{0DF2A545-CAB5-47E8-9A8A-E92C93C23962}" -> C:\WINDOWS\system32\cflcfv5.dll

Eliminada Class, "{1B0E7716-898E-48CC-9690-4E338E8DE1D3}" -> C:\ARCHIV~1\3721\Assist\assist.dll

Eliminada Class, "{BCC8A4AB-C055-461E-B4B5-1B0EA8647897}" -> C:\WINDOWS\system32\confl.dll

Eliminada Class, "{9355DF8C-350C-4E6D-BFBD-1431EA20B6D1}" -> C:\WINDOWS\expro.dll

Eliminada Class, "{25154861-2D05-4848-B94C-F1DD4A2294EB}" -> C:\WINDOWS\vpssup.dll

Eliminado Servicio, "Driver"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.114.83,85.255.112.183

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (I)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Tue Jul 10 11:33:36 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\MPGBASIC.DLL --> Eliminado, NavHelper(BHO)

C:\WINDOWS\system32\LMIINIT.DLL.VIR --> Acceso Denegado, RemoteAdmin(lmiinit)

Tue Jul 10 11:53:30 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\EXPRO.DLL.VIR --> Eliminado.

C:\WINDOWS\VPSSUP.DLL.VIR --> Eliminado.

Eliminada Class, "{33DD88A6-1909-47CD-878D-FA5D01487E1C}" -> C:\WINDOWS\expro.dll

Eliminada Class, "{26B54868-A760-42F2-AB8B-AFC676E14326}" -> C:\WINDOWS\vpssup.dll

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.114.83,85.255.112.183

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (I)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Tue Jul 10 11:54:02 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\LMIINIT.DLL.VIR.VIR --> Eliminado, RemoteAdmin(lmiinit)

Tue Jul 10 12:03:11 2007

EliStartPage v14.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Drivers\audio_HD_realtek\ALCMTR.EXE --> Eliminado, SpyRealtek

gus29 · Mensaje por **gus29** » 10 Jul 2007, 20:02

Cuando tenga otro problema, volveré aqui, gracias.

Mensaje por **lucl** » 11 Jul 2007, 10:04

No obstante vete a agregar o quitar programas o en inicio todos los programas y busca un programa que se llame helpcid, ayudacid o similar, porque hasta que no quites eso no se te ira del todo, ademas el elistara te pide varias muestras te copio

Por favor, envienos una muestra del fichero

C:\Muestras\EXPRO.DLL.Muestra EliStartPage v14.39

Por favor, envienos una muestra del fichero

C:\Muestras\VPSSUP.DLL.Muestra EliStartPage v14.39

que debes enviar siguiendo estas instrucciones del siguiente link

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y tienes DNS maliciosas, debes llamar atu proveedor de internet y pedirle las dns buenas , una vez las sepas cambialas con esto, saludos

http://www.zonavirus.com/descargas/confgdns.asp

Mensaje por **msc hotline sat** » 11 Jul 2007, 10:16

Y por ultimo, dado que tenias el CiD, arranca en modo seguro y lanza el HJT, y luego nos posteas el contenido del log:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 11-07-2007

gus29 · Mensaje por **gus29** » 12 Jul 2007, 05:02

Logfile of HijackThis v1.99.1

Scan saved at 21:18:32, on 11/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\DOCUME~1\LEONOR~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)

O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file)

O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)

O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Archivos de programa\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [gramplanjoyplay] C:\Documents and Settings\All Users\Datos de programa\TOOL HTM GRAM PLAN\Manager Iso.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKCU\..\Run: [E06EXLRD_293343] "C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [TickHold] C:\DOCUME~1\LEONOR~1\DATOSD~1\Chinowns\Mode remote 2.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Icatch(VI) SnapDetect.lnk = C:\WINDOWS\twain_32\ca561a\SnapDetect.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by22fd.bay22.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3448CC76-5CE8-47D5-9936-1CAA2C7A8978}: NameServer = 85.255.114.83,85.255.112.183

O17 - HKLM\System\CCS\Services\Tcpip\..\{5208E498-15EB-41A1-901C-D17229026854}: NameServer = 85.255.114.83,85.255.112.183

O17 - HKLM\System\CCS\Services\Tcpip\..\{69E9DCBB-53D2-4AC6-A825-E8D3479A2791}: NameServer = 85.255.114.83,85.255.112.183

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.83 85.255.112.183

O17 - HKLM\System\CS1\Services\Tcpip\..\{3448CC76-5CE8-47D5-9936-1CAA2C7A8978}: NameServer = 85.255.114.83,85.255.112.183

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.83 85.255.112.183

O17 - HKLM\System\CS2\Services\Tcpip\..\{3448CC76-5CE8-47D5-9936-1CAA2C7A8978}: NameServer = 85.255.114.83,85.255.112.183

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.83 85.255.112.183

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe

Mensaje por **msc hotline sat** » 12 Jul 2007, 05:34

Envianos estos ficheros para analizar:

C:\WINDOWS\system32\cssrss.exe

C:\Documents and Settings\All Users\Datos de programa\TOOL HTM GRAM PLAN\Manager Iso.exe

C:\DOCUME~1\LEONOR~1\DATOSD~1\Chinowns\Mode remote 2.exe

y elimina estas claves:

O2 - BHO: (no name) - {13197ace-6851-45c3-a7ff-c281324d5489} - (no file)

O2 - BHO: (no name) - {30000273-8230-4dd4-be4f-6889d1e74167} - (no file)

O2 - BHO: (no name) - {5929cd6e-2062-44a4-b2c5-2c7e78fbab38} - (no file)

O2 - BHO: (no name) - {669695bc-a811-4a9d-8cdf-ba8c795f261e} - (no file)

O2 - BHO: (no name) - {8674aea0-9d3d-11d9-99dc-00600f9a01f1} - (no file)

O2 - BHO: (no name) - {965a592f-8efa-4250-8630-7960230792f1} - (no file)

O2 - BHO: (no name) - {b8875bfe-b021-11d4-bfa8-00508b8e9bd3} - (no file)

O2 - BHO: (no name) - {fc3a74e5-f281-4f10-ae1e-733078684f3c} - (no file)

O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe

O4 - HKLM\..\Run: [gramplanjoyplay] C:\Documents and Settings\All Users\Datos de programa\TOOL HTM GRAM PLAN\Manager Iso.exe

O4 - HKCU\..\Run: [TickHold] C:\DOCUME~1\LEONOR~1\DATOSD~1\Chinowns\Mode remote 2.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y aparte tienes configurados como servidores de DNS, unos maliciosos de Ukraina:

O17 - HKLM\System\CCS\Services\Tcpip\..\{3448CC76-5CE8-47D5-9936-1CAA2C7A8978}: NameServer = 85.255.114.83,85.255.112.183

O17 - HKLM\System\CCS\Services\Tcpip\..\{5208E498-15EB-41A1-901C-D17229026854}: NameServer = 85.255.114.83,85.255.112.183

O17 - HKLM\System\CCS\Services\Tcpip\..\{69E9DCBB-53D2-4AC6-A825-E8D3479A2791}: NameServer = 85.255.114.83,85.255.112.183

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.83 85.255.112.183

O17 - HKLM\System\CS1\Services\Tcpip\..\{3448CC76-5CE8-47D5-9936-1CAA2C7A8978}: NameServer = 85.255.114.83,85.255.112.183

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.83 85.255.112.183

O17 - HKLM\System\CS2\Services\Tcpip\..\{3448CC76-5CE8-47D5-9936-1CAA2C7A8978}: NameServer = 85.255.114.83,85.255.112.183

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.83 85.255.112.183

Pregunta a tu ISP las IP de los servidores de DNS que ellos ofrecen y aconsejan, y cambia las indicadas para lo que pueden probar el CONFGDNS.EXE

CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp

Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas

saludos

ms, 12-07-2007

gus29 · Mensaje por **gus29** » 20 Jul 2007, 22:44

la aplicacion csrss no no se pudo ejecutar en modo Win32, eso que significa?, en las direcciones que me mencionaste anteriormente no hay programas, archivos, nada, ¿Me podrias decir que pasos debo seguir para hacer todo esto? Gracias, saludos

Mensaje por **msc hotline sat** » 21 Jul 2007, 12:36

Lee bien y todo !!!

No hablamos de csrss.exe, esta es normal de windows, estamos pidiendo muestra de un CSSRSS.EXE

y sigue las instrucciones indicadas en

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

para con los ficheros y las claves indicadas.

saludos

ms, 21-07-2007

Aviso spyware, ayuda por favor

Aviso spyware, ayuda por favor

hjt