Problema con los link del Google y Yahoo (SOLUCIONADO)

Alexis.Simin · Mensaje por **Alexis.Simin** » 09 Jul 2007, 05:37

Hola, soy nuevo en el foro.

Andaba buscando info del problema en internet y di con su foro

Mi problema es el siguiente:

Cada vez que realizo una busqueda con cualquier palabra como referencia en los buscadores Google y Yahoo, los link que aparecen, al hacer click en ellos me llevan a una misma pagina, de propaganda supongo.

Esta es una de las direcciones a la que me mando, poniendo de palabra referente "Arte" (por ej): http://btcar.com/arte.cfm?pt=2&rpt=1&kt=1

He visto en otro post que han hecho, preguntando por un problema o el mismo o parecido. Lo lei, y mucho la explicacion del moderador no la entendi. Pero vi que pidieron que se haga un chequeo del sistema con un programa llamado "HijackThis".

Me lo vaje he ise el chequeo, por si viene al caso y desde ya ayuda, les dejo el informe :

Logfile of HijackThis v1.99.1

Scan saved at 10:09:01 p.m., on 08/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\BitTorrent\bittorrent.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Alexis\CONFIG~1\Temp\Rar$EX00.141\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [PPFW] c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PPFW.EXE PPFW.EXE /cmd:allowpandarules /prod:titanium /mod:3 /flg:2 /ver:5.2.1

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe" "ZyXEL\AccessRunner ADSL USB"

O4 - HKLM\..\Run: [stop move face vga] C:\Documents and Settings\All Users\Datos de programa\Bendscrstopmove\32 Dumb.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [tspcm] C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [file title] C:\DOCUME~1\Alexis\DATOSD~1\elseroad\live loud four.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6C855708-7631-47A5-8168-2557A6C82E2B}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{E7EA4E54-D4B4-4FAA-AE19-D28314C1F416}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{FFD0130A-6C5D-4B89-9E49-178423174950}: NameServer = 85.255.115.29,85.255.112.140

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: Panda anti-virus service (PAVSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe (file missing)

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimsvc.exe (file missing)

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Tambien aviso que uso el Spybot - Serch and Destroy, lo he tirado varias veces, y cada ves me aparece 1 solo problema, con el nombre de : Zlob.DNSChanger. Lo reparo, pero siempre me aparece de nuevo cuando hago otro analisis.

No tengo mucha idea de virus y de pc a nivel de programacion ni nada. Por eso pido ayuda.

Desde ya, muchas gracias por haber leido mi problema. Se les agradeceria mucho su ayuda.

Tambien agrego que le eche un vistaso a su foro, y lo veo muy provechoso, lo visitare seguido.

Adios y gracias.

Mensaje por **msc hotline sat** » 09 Jul 2007, 06:29

Aparte de tener varios antivirus instalados (Symantec, NOD32, Panda...) y tener que desinstalar todos menos uno (el que prefiera no solo uno instalado residente, sino hay colisiones, ralentizacion , etc), vemos que tiene configurado servidores de DNS maliciosos de Ukraina, lo cual puede haber sido causado por alguna variante de Flush o ZLob, por lo cual pruebe el ELISTARA/ELINOTIF a ver si se lo quita de encima, y luego solucione con el CONFDGDNS lo de esta clave:

O17 - HKLM\System\CCS\Services\Tcpip\..\{FFD0130A-6C5D-4B89-9E49-178423174950}: NameServer = 85.255.115.29,85.255.112.140

y como que hay dos ficheros sopechosos que no sabemos si el ELISTARA conoce, envienoslos para analizar:

C:\Documents and Settings\All Users\Datos de programa\Bendscrstopmove\32 Dumb.exe

C:\DOCUME~1\Alexis\DATOSD~1\elseroad\live loud four.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y como hemos indicado:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 8-07-2007

Alexis.Simin · Mensaje por **Alexis.Simin** » 09 Jul 2007, 18:26

Bueno, desde ya gracias por darse un tiempo para mi problema :)

Con respecto a los anti-virus:

Hace tiempo me habia instalado el Panda Titaniun y el Spywer Doctor, ambos los desinstale, pero al parecer quedo un residuo o algo del Panda, no se como eliminarlo, ni se donde esta.

Actualmente tengo instalado el NOD32 y el Spybot S&D, desinstale el NOD32.

Pero con respecto a eso del Symantec, sinceramente ni idea que tenia eso, no se si ya habra venido con la pc o que, no sabia que tenia otro antivirus. Si saves como sacarlo, se te agradeceria.

Me Baje el ELISTARA/ELINOTIF.DLL. HIZe el escaneo y elimino varias cosas, si quieres ver la lista que dio, avisame y te la paso, por si sirve de algo.

Con el HJT elimine la entrada:

O17 - HKLM\System\CCS\Services\Tcpip\..\{FFD0130A-6C5D-4B89-9E49-178423174950}: NameServer = 85.255.115.29,85.255.112.140

Ahora te mando los dos ficheros que me mencionaste.

Gracias por prestarme tu ayuda y tu tiempo, recomendare este foro a amigos xD jeje.

Saludos

Mensaje por **msc hotline sat** » 09 Jul 2007, 18:54

Si, posteanos el contenido de infosat.txt, para saber lo que hizo el proceso.

y de Symantec, ahi tienes su desinstalador:

NORTON REMOVAL TOOL:

http://norton-removal-tool.softonic.com/ie/43087

saludos

ms, 9-07-2007

Mensaje por **msc hotline sat** » 09 Jul 2007, 18:58

y de Panda ahí tienes claves de tu log :

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [PPFW] c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PPFW.EXE PPFW.EXE /cmd:allowpandarules /prod:titanium /mod:3 /flg:2 /ver:5.2.1

O23 - Service: Panda Function Service (PAVFNSVR) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: Panda anti-virus service (PAVSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe (file missing)

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimsvc.exe (file missing)

ms.

Alexis.Simin · Mensaje por **Alexis.Simin** » 09 Jul 2007, 19:34

Primero: Norton / Symantec, desinstalado

No me acordaba jeje, no relacionaba Symantec con el Norton, hace mucho lo tenia.

Aqui esta la lista del InfoSat:

Mon Jul 09 12:15:56 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WGALOGON.DLL.Muestra EliStartPage v14.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WGALOGON.DLL --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "PPFW"="c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PPFW.EXE PPFW.EXE /cmd:allowpandarules /prod:titanium /mod:3 /flg:2 /ver:5.2.1"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.29 85.255.112.140

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 09 12:17:07 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.29 85.255.112.140

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 serial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 images.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.alcohol-soft.com

Linea Eliminada del HOSTS --> 127.0.0.1 alcohol-soft.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 09 12:17:46 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\K-Lite Codec Pack\real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

Mon Jul 09 12:20:51 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 09 12:20:57 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Ahora, con respecto al Panda, me puse en Modo a prueva de fallos, tire el HJT, y puse para eliminar esas entradas, las dos primeras:

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [PPFW] c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PPFW.EXE PPFW.EXE /cmd:allowpandarules /prod:titanium /mod:3 /flg:2 /ver:5.2.1

Se borraron, pero, estas 5 no, permanecen:

O23 - Service: Panda Function Service (PAVFNSVR) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: Panda anti-virus service (PAVSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe (file missing)

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimsvc.exe (file missing)

Aviso, yo lo habia puesto a desinstalar, pero quedo un archivo que no se puede borrar, supongo que necesitaria un desinstalador.

Bueno, saludos

Alexis.Simin · Mensaje por **Alexis.Simin** » 09 Jul 2007, 20:05

Amigo, me puse a probar de vuelta los link del Google y del Yahoo y me siguen enviando a la misma pagina y no a la pagina que indica el buscador. Seran los archivos sospechosos que mencionaste?

De paso te aviso que ya te los mande por msn Hotmail, mi msn es <interceptado>@hotmail.com con el titulo de: "REF Alexis.Simin", en archivo adjunto.

Claudia34 · Mensaje por **Claudia34** » 09 Jul 2007, 20:16

Y mientras esperas para ver lo que dicen del log que pegaste, no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:

https://www.virustotal.com/es/

https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Saludos.

Mensaje por **msc hotline sat** » 09 Jul 2007, 21:32

Veras Alexis, yo no recibo los mails. Los que llegan a la cuenta de zonavirus@satinfo.es indicando como referencia el nick de algun forero, pasan a analisis y monitorizacion, y en funcion del resultado me informan y decido si procede hacerse utilidad especifica o implementar su control en una existente y ello se indica en el foro cada día indicando nuevas versiones de las utilidades y lo que controlan de nuevo.

Bueno, revisando los informes del ELISTARA (INFOSAT.TXT) veo que tienes el conocido CiD !!!

Mira lo que decimos sobre él:

[quote="para el CiD se"]

y como que ve que tiene el CiD, y para él se indica:

[quote]Pero a partir de ahora, a todos los afectados por el CiD, lo primero será tratar de desinstalar el programa desde Inicio -> Panel de Control -> Agregar o Quitar programas , luego pasar el ELISTARA y por ultimo y en modo seguro, lanzar el HJT y postearnos el log resultante.[/quote]

Pues obre en consecuencia:

primero:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y luego, arrancando en modo seguro lanzar el HJT y postearnos el contenido de su log::

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos
[/quote]

En consecuencia empiece por desinstalarlo en Panel de Control -> Agregar o Quitar programas

Luego, como que ya ha pasado el ELISTARA, ARRANQUE EN MODO SEGURO y lance el HJT y luego nos postea el log.

Tras ello veremos si queda algo del mismo y le indicaremos como proceder

saludos

ms, 9-07-2007

nota: y ojo que tiene como servidores de DNS unos maliciosos de Ukraina

Proceda a sustituirlos por los que le indique su ISP, utilizando el CONFGDNS.EXE

CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp

Y tras probar el CONFGDFNS e instalar los que le indique su ISP, quedaran configuradas las nuevas direcciones IP, confirme volviendo a lanzar el HJT que ya no figuran las maliciosas

Alexis.Simin · Mensaje por **Alexis.Simin** » 10 Jul 2007, 00:33

Con lo del mensaje, perdon pense que eras tu mismo xD jeje.

Yo no los apuro ni nada, hagan el trabajo que tengan que hacer, ademas uds se ofrecen a ayudara mi a muchas personas sin ganar nada a cambio, por lo que estoy muy agradecido por su ayuda.

Esos CID, que me aparecian como paginas de propaganda ya molstaban mucho, lo estaba por mencionar.

Llendo por Inicio/Panel de Control, elimine la entrada que tenia el (CID), era el Mensajer Live Plus.

Pase el ELISTARA, aqui el InfoSat:

Mon Jul 09 18:20:38 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 09 18:20:45 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Luego ise el programa CONFGDNS.EXE, le puse la primera sifra de numeros que me mostro (diganme si ise bien)

Luego en modo seguro pase el HJT, aqui el informe:

Logfile of HijackThis v1.99.1

Scan saved at 06:19:22 p.m., on 09/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Alexis\CONFIG~1\Temp\Rar$EX00.985\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll (file missing)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll (file missing)

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll (file missing)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe" "ZyXEL\AccessRunner ADSL USB"

O4 - HKLM\..\Run: [stop move face vga] C:\Documents and Settings\All Users\Datos de programa\Bendscrstopmove\32 Dumb.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [tspcm] C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [file title] C:\DOCUME~1\Alexis\DATOSD~1\elseroad\live loud four.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//as/v1/cabs/ascstubie.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ar/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E7EA4E54-D4B4-4FAA-AE19-D28314C1F416}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: Panda Function Service (PAVFNSVR) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: Panda anti-virus service (PAVSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe (file missing)

O23 - Service: Panda Network Manager (PNMSRV) - Unknown owner - c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE (file missing)

O23 - Service: Panda IManager Service (PSIMSVC) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimsvc.exe (file missing)

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Como veran, los del Panda siguen permaneciendo :S, no se van al ponerlos a eliminar.

Gracias por tu ayuda hasta ahora, sacarme esos CID de encima me alegro mucho :)

Recien me puse a probar de nuevo lo de los link del Google y al parecer andan bien, muchas gracias.

Saludos

Alexis.Simin · Mensaje por **Alexis.Simin** » 10 Jul 2007, 03:16

Me vuelvo a fijar y me pasa de vuelta el problema de los link del Google y Yahoo! :cry:

Tambien me aparecieron algunas paginas CID

Mensaje por **msc hotline sat** » 10 Jul 2007, 05:52

Vamos a hacer limpieza

elimina estas claves:

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll (file missing)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll (file missing)

O4 - HKLM\..\Run: [stop move face vga] C:\Documents and Settings\All Users\Datos de programa\Bendscrstopmove\32 Dumb.exe

O4 - HKCU\..\Run: [file title] C:\DOCUME~1\Alexis\DATOSD~1\elseroad\live loud four.exe

envianos estos ficheros sospechosos para analizar:

C:\Documents and Settings\All Users\Datos de programa\Bendscrstopmove\32 Dumb.exe

C:\DOCUME~1\Alexis\DATOSD~1\elseroad\live loud four.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y de Panda tienes aun estas claves, mira de eliminarlas arrancando en modo seguro:

O23 - Service: Panda Function Service (PAVFNSVR) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: Panda anti-virus service (PAVSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe (file missing)

O23 - Service: Panda Network Manager (PNMSRV) - Unknown owner - c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE (file missing)

O23 - Service: Panda IManager Service (PSIMSVC) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimsvc.exe (file missing)

Con las muestras pedidas eliminaremos los restos que puedas tener de CiD y demás, y hoy mismo (si las envias pronto) implementaremos el control y eliminacion en nuestra utilidades

saludos

ms, 10-07-2007

Mensaje por **msc hotline sat** » 10 Jul 2007, 13:27

Las dos muestras recibidas pasamos a controlaralas como variantes del SWIZZOR en la proxima version del ELISTARA 14.39

SALUDOS

MS, 10-07-2007

Alexis.Simin · Mensaje por **Alexis.Simin** » 10 Jul 2007, 22:06

Hola, disculpa la tardansa xD, no estaba en mi casa.

Bueno, ya elimine esas 5 entradas que me mencionaste.

Pero, lugo intente eliminar las entradas del Panda, lo ise en modo seguro, pero no hay caso, no se borran.

Aqui te dejo HJT despues de borrar las primeros 5 entradas:

Logfile of HijackThis v1.99.1

Scan saved at 04:12:07 p.m., on 10/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\BitTorrent\bittorrent.exe

C:\DOCUME~1\Alexis\CONFIG~1\Temp\Rar$EX00.469\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe" "ZyXEL\AccessRunner ADSL USB"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [tspcm] C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ar/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E7EA4E54-D4B4-4FAA-AE19-D28314C1F416}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: Panda Function Service (PAVFNSVR) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: Panda anti-virus service (PAVSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe (file missing)

O23 - Service: Panda Network Manager (PNMSRV) - Unknown owner - c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE (file missing)

O23 - Service: Panda IManager Service (PSIMSVC) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimsvc.exe (file missing)

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Dime, yo ya habia mandado las 2 muestras por el msn, llegaron bien? Cualquier cosa dime y te las mando de vuelta.

Saludos

Alexis.Simin · Mensaje por **Alexis.Simin** » 10 Jul 2007, 22:20

Una aclaracion, quisas tenga algo que ver:

Yo ahora solamente tengo instalado el Spybot S&D (aparte de esos archivos Panda que o se borran). La cosa es que yo siempre le he puesto la Inmunización del Spybot; y cada ves que hago alguna tarea de estas, como usar el HJT para borrar algo en Modo Seguro, me aparecen cosas para volver a Inmunizar, cosa que yo antes de la operacion aparecia todo Inmunizado.

Saludos

Mensaje por **msc hotline sat** » 11 Jul 2007, 07:45

Cuando entremos a trabajar en SATINFO (dentro de una 3 horas) se analizan las muestras recibidas e informaremos del resultado

El log del HJT está limpio, y visto que no puedes borrar estas claves de Panda, prueba su desinstalador y tras probar la 14.39 del ELISTARA, posteanos el contenido del c:\infosat.txt , gracias

Alexis.Simin · Mensaje por **Alexis.Simin** » 11 Jul 2007, 19:27

Ya tire el desinstalador del Panda.

Luego tire el HJT y el ELISTARA 14.40 (que me lo descargue recien) en el Modo a prueva de fallos (por si acaso):

Info sat del Elistara:

Wed Jul 11 12:59:44 2007
EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Wed Jul 11 12:59:54 2007
EliStartPage v14.40  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Resultado del HJT ( Lo mire y vi una unica entrada de Panda, tendre que tirar de vuelta el desinstalador?)

Logfile of HijackThis v1.99.1
Scan saved at 12:58:57 p.m., on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Código: Seleccionar todo

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\Userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\Alexis\CONFIG~1\Temp\Rar$EX00.235\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll
O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\AccessRunner ADSL USB\CnxDslTb.exe" "ZyXEL\AccessRunner ADSL USB"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [tspcm] C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [file title] C:\DOCUME~1\Alexis\DATOSD~1\elseroad\live loud four.exe
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/ar/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7EA4E54-D4B4-4FAA-AE19-D28314C1F416}: NameServer = 208.67.220.220,208.67.222.222 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222 
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222 
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222 
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: Panda Network Manager (PNMSRV) - Unknown owner - c:\archivos de programa\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE (file missing)
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Saludos

Mensaje por **msc hotline sat** » 11 Jul 2007, 19:33

Esta clave es sospechosa:
O4 - HKCU\..\Run: [file title] C:\DOCUME~1\Alexis\DATOSD~1\elseroad\live loud four.exe

Envienos este fichero para analizar:
C:\DOCUME~1\Alexis\DATOSD~1\elseroad\live loud four.exe

-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 11-07-2007

nota: y la clave de Panda es del cortafuegos, no molesta para el antivirus, pero deberia eliminarla. Mire que no tenga el fichero que lanza en el disco duro, con un Inicio -> Buscar, y si es asi primero renombre el fichero a *.OLD, y tras reiniciar podrá eliminar la clave. ms.

Alexis.Simin · Mensaje por **Alexis.Simin** » 11 Jul 2007, 19:46

Mira, cuando cargo ese archivo como Archivo Adjunto en el MSN (uso hotmail) me aparece este mensaje:

El/los archivo(s) live loud four.exe(0.43 MB) pueden no ser seguros. Muchos destinatarios no podrán abrir los datos adjuntos. Si lo deseas, puedes eliminar estos datos adjuntos antes de enviar el mensaje. Más información...

Lo mando, pero avisame si llega bien. Sino me hago una cuenta en el gmail y capas anda mejor.

Alexis.Simin · Mensaje por **Alexis.Simin** » 11 Jul 2007, 20:50

De paso te aviso que, ya que tengo el Spybot S&D, y vi aquí en el foro el como usarlo en Modo Avanzado

Lo hice paso a paso, quizás ayude en algo.

Saludos

Mensaje por **msc hotline sat** » 11 Jul 2007, 21:27

Repite el envio del fichero sospechoso y hazlo como indicamos en el link al respecto.
-> Para ello recordar: viewtopic.php?f=2&t=45334

Mensaje por **msc hotline sat** » 11 Jul 2007, 21:28

Repite el envio del fichero sospechoso y hazlo como indicamos en el link al respecto:
-> Para ello recordar: viewtopic.php?f=2&t=45334

Para que el envió no sea interceptado por los antivirus, desactivando el antivirus residente o arrancando en modo seguro, empaquetar el fichero infectado en un ZIP o RAR con password "VIRUS" y así se encriptará de manera que nadie lo detecte

Así seguro que llegará

saludos
ms, 11-07-2007

Alexis.Simin · Mensaje por **Alexis.Simin** » 11 Jul 2007, 23:32

Ya lo envie dentro de un archivo WinRAR, no hubo problema

Saludos

Mensaje por **msc hotline sat** » 12 Jul 2007, 07:11

Pues cuando recibamos dicho "live loud four.exe " lo analizaremos e informaremos.

saludos
ms, 12-07-2007

Mensaje por **msc hotline sat** » 12 Jul 2007, 10:53

Recibida nueva muestra, es un SWIZZOR que ya se controla con el actual ELISTARA: http://www.zonavirus.com/descargas/elistara.asp y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 12.07.2007

Alexis.Simin · Mensaje por **Alexis.Simin** » 12 Jul 2007, 14:23

Pase el ELISTARA, note que aun tengo el problema ese del IP. Me podrias guiar: en donde me dice que IP devo usar, con respecto al ISP, porque no lo se.

InfoSat:

Thu Jul 12 08:26:57 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.29 85.255.112.140

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jul 12 08:27:06 2007

EliStartPage v14.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Saludos

Mensaje por **msc hotline sat** » 12 Jul 2007, 14:45

Tu ISP (Internet Services Provider= Proveedor de Servicios de Internet) es Telefonica de Argentina, preguntale a ellos los Servidores de DNS que te aconsejen usar

Con el CONFGDNS se los pones y los aplicas:

CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp

saludos

ms, 12.07-2007

Alexis.Simin · Mensaje por **Alexis.Simin** » 12 Jul 2007, 20:28

Un problema:

Ya llame a Telefonica Arg, y ya tengo el Servidor de DNS

Ahora, cuando pongo el CONFGDNS, me aparecen 4 Interfaces.

Apreto en "Ver" para ver cada una y en la que aparecia el numero 85.255.115.29 85.255.112.140, lo cambie por el que me dio el ISP y reinicie la PC.

Pero despues, entro en cualquier link de google o yahoo, inmediatamente me manda a una pagina extraña, aparece un aviso de archivo emergente. Luego me fijo de vuelta con el CONFGDNS y veo que vuelve a aparecer el numero 85.255.115.29 85.255.112.140.

Que me aparescan 4 Interfaces para el DNS es normal?

Le pongo el DNS en las 4?

Alexis.Simin · Mensaje por **Alexis.Simin** » 12 Jul 2007, 21:06

Una cosa nueva, el Spybot me detecto el Troyan "tagasaurus"

Mensaje por **flacoroo** » 12 Jul 2007, 22:24

sigue estos pasos:

1.- Spybot lo debes de actualizar.
a).- deshabilita Restaurar Sistema
2.- Enciende tu computadora en modo seguro.
3.- Abre tu Spybot …sigue estos pasos:
a).- en el menú modo toma la opción avanzado.
b).- entras en la pestaña herramientas
c).- del lado derecho te aparecerán varias opciones, habilitas todas
d).- después entras a información de desinstalación y vas uno por uno buscando programas que creas que no haz instalado o programas que pueden llevarte a que sea lenta la computadora o tenga fallas, como toolsbars, programas gratuitos para mejorar el puntero del Mouse, emoticons, etc…
e).- También debes eliminar cadenas de programas que están solas o que no hagan referencia a un programa especifico.
Ejemplo: mxhsjxhsga1237493021%dffg$$$hdhdhsjs
f).-Después entras en Inicio de sistemas
g:- Ahí veras a todos los programas que se cargan al comenzar Windows…de lado derecho hay una imagen como un pequeño teclado dale clic para que se abra una ventana…y ahora iras de arriba hacia abajo o inversa…chécando uno por uno cada archivo y ayudándote con la información que te sale lado derecho donde dice base de datos iras haciendo lo siguiente:
1.- deshabiltar todas las que te digan NO NECESARIO…
2.- Eliminar todas las que te digan : virus, troyano, innecesario, etc.
3.-en caso de que no te salga información sobre un programa, debes de ver de que programa es, si vez que es un programa conocido pues no lo deshabilites, en la parte de abajo hay unos archivos que dicen WINLOGON esos no los deshabilites (en caso de tenerlos)
h).- de ahí te iras a la opción Partes Internas del Sistemas y oprimes la opción comprobar y si te sale algo en la ventana de abajo le das reparar los problemas seleccionado y le das borrar a todos.
i).- de ahí te vas a la opción BHOs y eliminas las cadenas que no están en verde ó en su defecto que no digan GENUINE
j).- de ahí también el mismo procedimiento a la siguiente opción ActiveX

y de ahí ejecutas el spybot y eliminas todo lo que te salga e inmunizas….

nos dices como te fue....