Virus Espia?? (solucionado)

mkissa · Mensaje por **mkissa** » 07 Oct 2004, 14:41

Hola amigos:

En primer lugar os saludo y doy las gracias por la ayuda que prestan a tantos seres ignorantes en esta materia ( Ej.: Yo ).

Bueno, mi problema consiste en los siguiente:

Hace ya un tiempo mi pc me daba problemas al querer abrir las carpetas, cuando lo hacia me arrojaba un error de EXPLORER.EXE lo solucione, y despues me pasaba con un tal KERNEL. Todo lo supere aplicando RESTAURAR SISTEMA, lo cual para mi era la panacea, jajajj :D .

Ahora el problema suscita cuando quiero cerrar las carpetas, apareciendo alguno .DLL que no habia visto en mi perra vida, uno de ellos es el KDP28CO.DLL O KDP28C0.DLL, el cual he buscado en google y no me aparece informacion al respecto, el otro archivo de este tipo es RAREXT.DLL y tambien el archivo GOOGLETOOLBAR2.DLL, los cuales tengo entendido pertenecerian a WINRAR Y GOOGLE respectivamente, si es que no estoy en un error.

Bien, lo que quiero es eliminar este problema, y buscando en la red estos archivos para saber algo mas de ellos llegue por estos lados..., lei el tema puesto por carmelo y vi la buena dispocision de Uds. para con el Maura63; Caito;Cañera y msc hotline sat, lo cual me hizo atreverme a escribirles. Y como dice la firma de Maura63... "Prefiero ser ignorante 5 minutos a que serlo toda una vida", Gracias.

Ah, ademas baje el Hijackthis.zip (ni idea tengo para que sirve, supongo que es un programa tipo ad-aware) y lo ejecute, pero no en modo seguro, pero si deshabilitando el RESTAURAR SISTEMA y me dio el siguiente log que espero sirva de algo.

De antemano muchisimas gracias.

Manuel (incierto@hotmail.com)

Logfile of HijackThis v1.98.2

Scan saved at 8:38:50, on 07-10-2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON UTILITIES\NPROTECT.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\WINPOET BROADBAND CONNECTION\WINPPPOVERETHERNET.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\GMT\GMT.EXE

D:\TIMECALENDAR\TC.EXE

C:\OPLIMIT\OCRAWARE.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\OPLIMIT\OCRAWR32.EXE

C:\ARCHIVOS DE PROGRAMA\MEDIAKEY\VERSATO.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\MEDIAKEY\OSD.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE

C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&pver=6&ar=msnhome

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: Core Library - {E9C1FD9A-46B0-4185-84ED-E2F8ACD4A262} - C:\WINDOWS\SYSTEM\KDP2BC0.DLL

O3 - Toolbar: Barrita.com - {478F2598-FF02-11D7-93B2-CEFDD0413D40} - C:\ARCHIVOS DE PROGRAMA\INFOSOFT\CLICKDIARIO\BARRITA\BARRITA.OCX (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [NPROTECT] C:\Archivos de programa\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINDOWS\SYSTEM\KDPUPD.DLL

O4 - HKLM\..\Run: [CMESys] "C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\CMEII\CMESYS.EXE"

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [z-wrdialer] "C:\Archivos de programa\WinPoET Broadband Connection\wrdialer.exe"

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET Broadband Connection\winpppoverethernet.exe"

O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater (required)] regsvr32 /s C:\WINDOWS\SYSTEM\KDP2BC0.DLL

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [NPROTECT] C:\Archivos de programa\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe"

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe"

O4 - HKCU\..\Run: [TimeCalendar] "D:\TIMECALENDAR\TC.EXE" auto

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE

O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE

O4 - Startup: MediaKey.lnk = C:\Archivos de programa\MediaKey\Versato.exe

O4 - Startup: GStartup.lnk = C:\Archivos de programa\Archivos comunes\GMT\GMT.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: ru-cl - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\ru-cl\0.html (file missing)

O9 - Extra button: Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)

O9 - Extra 'Tools' menuitem: &Messenger Addon - {FB5F1911-F110-11d2-BB9E-00C04F795683} - http://messenger.ipfox.com (file missing)

O13 - DefaultPrefix: http://www.barrita.com/r.asp?a=

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (MoneyTree Dialer) - http://cdn.climaxbucks.com/internet-optimizer/080703/UniDistIOcrack.CAB

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://dload.ipbill.com/del/loader.cab

O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_cracks.cab

O16 - DPF: {5C24626A-CC0D-49D6-8454-AAA5B97D4410} (UDConnect Class) - http://09.sharedsource.org/html/HGMNetworkUD_1.0.0.3ie.cab?

O16 - DPF: ChatSpace Java Client 2.1.0.95 - http://200.74.171.188:8000/Java/cs4ms095.cab

Mensaje por **msc hotline sat** » 07 Oct 2004, 14:58

Empieza por el principio, pues el analisis del HJR es para cuando queda algio que no se controla normalmente, no a priori.

Por ello, empieza por arrancar en modo seguro con funciones de red y lanza un antivirus ONLINE y un antispyware como el SPYBOT, y elimina bichos pulsando al finalizar en SOLUCIONAR PROBLEMAS

__________

Antivirus On-line:

· Computer Associates

https://www.virustotal.com/es/

Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema

Sitio 1 - Descargar Spybot - Search & Destroy 1.3.1

http://kujoe.com/freeware/spybot.php

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3.1 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp

_________

Tras eliminar bichos, arranca normalmente y ve si tienes algun problema e informanos al respecto

Mensaje por **maura63** » 07 Oct 2004, 15:02

Empieza por lanzar estos programas, como usas ME desactiva antes restaurar sistema y enciende en modo seguro

Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema

Sitio 1 - Descargar Spybot - Search & Destroy 1.3.1

http://kujoe.com/freeware/spybot.php

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3.1 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp

Eliminación de paginas de inicio en el internet explorer y no restaurables,

dialers, etc:

Pasos a seguir una ver descargados es instalarlos, actualizados (update)

y escanear el sistema

· Cwshredder

Sitio 1 - Descargar Cwshredder

http://www.aluriasoftware.com/tools/cwshredder.zip

----------------------------------------------------------------

Sitio 2 - Descargar Cwshredder desde zonavirus.com

http://www.zonavirus.com/descargas/trend-micro-cwshredder.asp

Y pasa un Antivirus On-line:

· Computer Associates

https://www.virustotal.com/es/

Despues vuelve a lanzar el hijackthis y veras como muchas entradas han desaparecido, haz un copiar y pegar con el resultado.

Saludos

maura63

Mensaje por **maura63** » 07 Oct 2004, 15:03

Dos respuestas muy unánimes ante problemas :D :D :D

Saludos Msc

maura63

PD:

Tienes

C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE

Cuando lo instalastes pulsaste SI a todo lo que se te preguntaba durante la descarga, de ser asi eliminalo y vuelve a instalar, pero ojo con lo que aceptas, pues hay apartados que preguntas sobre publicidad.

A parte

Por señalar algo tienes esta entrada

R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

Corresponde a:

Field Value

GUID {00D6A7E7-4A97-456f-848A-3B75BF7554D7}

Filename PerfectNavBHO.dll, PERFEC~*.DLL

Status X BHO

Description [color=red]IncrediFind variant [/color]

y esta otra

{E9C1FD9A-46B0-4185-84ED-E2F8ACD4A262}

Mensaje por **msc hotline sat** » 07 Oct 2004, 19:12

Se supone que con el SPYBOT lo detectará y podrá eliminar.

Pero buen apunte por tu parte, Maura63

saludos

ms, 7-10-2004

mkissa · Mensaje por **mkissa** » 08 Oct 2004, 19:45

Encender en modo seguro es lo mismo que modo a prueba de fallos????

como se dan las opciones de red????

Mensaje por **cañera** » 08 Oct 2004, 20:57

inicio/mi pc,clicas con boton derecho/propiedades/restaurar sistema,lo desactivas y aceptas.

apagas el pc,lo enciendes y pulsas repetidas veces F8 y en el menu que te aparece escoges la opcion modo seguro.

estos son los pasos que debes de dar para entrar en esa opcion.

cuentanos como te fue.

mkissa · Mensaje por **mkissa** » 09 Oct 2004, 04:18

Bueno, hicie todo lo que decian, me costo, pero lo logre. Al reiniciar no tuve problemas, salvo que quedo instaldo el D&S y no se si lo dejo o lo saco. Pero bueno, eso es lo de menos por el momento.

Pase de nuevo el hijackThis y esto fue lo que arrojo, espero que sea menos malo que antes.

Y muchas gracias por el tiempo que nos dedican.

file of HijackThis v1.98.2

Scan saved at 22:15:56, on 08-10-2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON UTILITIES\NPROTECT.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\WINPOET BROADBAND CONNECTION\WINPPPOVERETHERNET.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

D:\TIMECALENDAR\TC.EXE

C:\OPLIMIT\OCRAWARE.EXE

C:\OPLIMIT\OCRAWR32.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\MEDIAKEY\VERSATO.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\MEDIAKEY\OSD.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE

C:\WINDOWS\TEMP\HIJACKTHIS.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\LIVEUPDATE\LUCOMSERVER.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Core Library - {E9C1FD9A-46B0-4185-84ED-E2F8ACD4A262} - C:\WINDOWS\SYSTEM\KDP2BC0.DLL

O3 - Toolbar: Barrita.com - {478F2598-FF02-11D7-93B2-CEFDD0413D40} - C:\ARCHIVOS DE PROGRAMA\INFOSOFT\CLICKDIARIO\BARRITA\BARRITA.OCX (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [NPROTECT] C:\Archivos de programa\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINDOWS\SYSTEM\KDPUPD.DLL

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [z-wrdialer] "C:\Archivos de programa\WinPoET Broadband Connection\wrdialer.exe"

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET Broadband Connection\winpppoverethernet.exe"

O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater (required)] regsvr32 /s C:\WINDOWS\SYSTEM\KDP2BC0.DLL

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [NPROTECT] C:\Archivos de programa\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe"

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe"

O4 - HKCU\..\Run: [TimeCalendar] "D:\TIMECALENDAR\TC.EXE" auto

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE

O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE

O4 - Startup: MediaKey.lnk = C:\Archivos de programa\MediaKey\Versato.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: ru-cl - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\ru-cl\0.html (file missing)

O13 - DefaultPrefix: http://www.barrita.com/r.asp?a=

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} -

O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_cracks.cab

O16 - DPF: {5C24626A-CC0D-49D6-8454-AAA5B97D4410} (UDConnect Class) - http://09.sharedsource.org/html/HGMNetworkUD_1.0.0.3ie.cab?

O16 - DPF: ChatSpace Java Client 2.1.0.95 - http://200.74.171.188:8000/Java/cs4ms095.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

caito · Mensaje por **caito** » 09 Oct 2004, 16:20

Arranca en modo Seguro , lanza el hijack y dale a Fix ea estas :

O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINDOWS\SYSTEM\KDPUPD.DLL

O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater (required)] regsvr32 /s C:\WINDOWS\SYSTEM\KDP2BC0.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: ru-cl - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\ru-cl\0.html (file missing)

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} –

O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_cracks.cab

O16 - DPF: {5C24626A-CC0D-49D6-8454-AAA5B97D4410} (UDConnect Class) - http://09.sharedsource.org/html/HGMNetworkUD_1.0.0.3ie.cab?

Borra Archivos Temporales de Internt,Cookies,Historial,contenido de carpeta Temp,fijate en Agregar y Quitar programas algun nombre sospechoso (Keen Value,new net,etc) y eliminalo.

Arranca en modo normal.

Cuenta cómo te fue

Salu2

Caito

Pd:

cuando pusiste el Plus te fijaste en no aceptar la publicidad ?

mkissa · Mensaje por **mkissa** » 10 Oct 2004, 04:04

Bueno, no me queda mas que agradecerles a todos, los esfuerzos que han hecho para ayudarme y decirles que los resultados han sido SATISFACTORIOS!!!!!, muchisimas gracias. Ya no me salen esos mensajes de error al cerrar las carpetas, que es lo que me tenia realmente preocupado.

Bueno, lo que si he notado ahora, es que al encender el equipo se demora para cargar, pero creo que es lo de menos.

Lo que me molesta y me gustaria saber como eliminarlo para siempre es lo que me aparece al comienzo antes de cargar, que es el poner la contraseña de red.

Y la otra pregunta es :¿Debo dejar instaldo el D&S, cuando ocuparlo, en forma diaria?, para que me serviran los otros programas cwshedder y el hijackthis y cuando los ocupos?

Pero lo mas importante !!!!!MUCHISIMAS GRACIAS!!!!!!

caito · Mensaje por **caito** » 10 Oct 2004, 06:25

Me alegro que hayas solucionado la mayor parte de los problemas :)

La demora en cargar el SO se debe a que tienes muchas cosas en el MSCONFIG ( arrancan en el inicio ), deberías chequear cuales puedes destildar y si las necesitas las puedes lanzar desde Inicio-Programas.

El SpyBotSearch&Destroy conviene ejecutarlo por lo menos una vez a la semana y busca si hay actualizaciones.

El CWS y el Hijack This guárdalo por si tienes que solucionar nuevos problemas.

Tambien te recomiendo este :

http://www.javacoolsoftware.com/spywareblaster.html

Bajálo,actualizálo y ejecútalo, luego asegúrate de activar la protección para todos los elementos.

Salu2

Caito

mkissa · Mensaje por **mkissa** » 10 Oct 2004, 23:26

Esto es lo ultimo que me arrojo el hijackthis, espero que se vea limpio. Gracias por todo

Logfile of HijackThis v1.98.2

Scan saved at 17:29:07, on 10-10-2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\ARCHIVOS DE PROGRAMA\NORTON UTILITIES\NPROTECT.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARCHIVOS DE PROGRAMA\WINPOET BROADBAND CONNECTION\WINPPPOVERETHERNET.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE

D:\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\OPLIMIT\OCRAWARE.EXE

C:\ARCHIVOS DE PROGRAMA\MEDIAKEY\VERSATO.EXE

C:\OPLIMIT\OCRAWR32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARCHIVOS DE PROGRAMA\MEDIAKEY\OSD.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WINZIP32.EXE

C:\WINDOWS\TEMP\HIJACKTHIS.EXE

C:\WINDOWS\WUAUBOOT.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: Barrita.com - {478F2598-FF02-11D7-93B2-CEFDD0413D40} - C:\ARCHIVOS DE PROGRAMA\INFOSOFT\CLICKDIARIO\BARRITA\BARRITA.OCX (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [NPROTECT] C:\Archivos de programa\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINDOWS\SYSTEM\KDPUPD.DLL

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [z-wrdialer] "C:\Archivos de programa\WinPoET Broadband Connection\wrdialer.exe"

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET Broadband Connection\winpppoverethernet.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NAV CfgWiz] C:\Archivos de programa\Archivos comunes\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [NPROTECT] C:\Archivos de programa\Norton Utilities\NPROTECT.EXE

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe"

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe"

O4 - HKLM\..\RunServices: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE

O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE

O4 - Startup: MediaKey.lnk = C:\Archivos de programa\MediaKey\Versato.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html

O13 - DefaultPrefix: http://www.barrita.com/r.asp?a=

O16 - DPF: ChatSpace Java Client 2.1.0.95 - http://200.74.171.188:8000/Java/cs4ms095.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

caito · Mensaje por **caito** » 11 Oct 2004, 01:21

Solo esta :

O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINDOWS\SYSTEM\KDPUPD.DLL

y esta si no pusiste la barrita a propósito :

O13 - DefaultPrefix: http://www.barrita.com/r.asp?a=

Además tienes muchos programas en el Inicio (MSCONFIG), chequea que de seguro puedes sacar algunos y cuando los necesites los puedes invocar desde el escritorio o desde inicio-programas ( yo tengo el antivirus,firewall,y de windows estos :Ctfmon,Scan registry,Pc health,System Tray,TaskMonitor,LoadPower Profile,Hibermonitor y State Mgr ) y tengo el Millenium.

Salu2

Caito

PD:

es importante que guardes el Hijack This en su propia carpeta , por ej. C>Limpiar<Hijack ( así puedes volver atrás si algo no funcionó ).

mkissa · Mensaje por **mkissa** » 11 Oct 2004, 03:59

hola

el 04 hklm de Kazaa se borro cuando saque kazaa del inicio

y el 013 que tenia lo borre con el hjthis

Ademas hice lo que me dijiste, puse el programa en su propia carpeta, gracias.

caito · Mensaje por **caito** » 11 Oct 2004, 07:12

Bueno me alegro que lo hayas solucionado y que los "jefes" puedan cerrar este tema.

Salu2

Caito

Mensaje por **maura63** » 11 Oct 2004, 09:11

Pues sigues teniendo bastante basura en tu PC, y seguramente por esto

C:\ARCHIVOS DE PROGRAMA\MESSENGER PLUS! 3\MSGPLUS.EXE

Deberias eliminarlo y cuando lo vuelvas a instalar no aceptes todo lo que pide, pues por aceptar aceptas hasta publicidad e intrusion.

Ademas descarga este prgrama y pasalo en modo seguro, pues tienes algunas variantes del CWS.

· Cwshredder

Sitio 1 - Descargar Cwshredder

http://www.aluriasoftware.com/tools/cwshredder.zip

----------------------------------------------------------------

Sitio 2 - Descargar Cwshredder desde zonavirus.com

http://www.zonavirus.com/descargas/trend-micro-cwshredder.asp

Saludos

maura63

caito · Mensaje por **caito** » 11 Oct 2004, 14:17

Creo que ya entendió lo del Plus ( se lo dijeron al principio del tema ) se me escapó esta :

R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

Ve de eliminarla con el Hijack , si te da problemas mira esto :

R3 - URLSearchHook: (no name) - _ - (no file)

Note el CLSID, los números entre las llaves, tienen un guión bajo al final y ello a veces dificulta removerlos con el HijackThis. Para arreglar esto necesita borrar manualmente esa entrada en particular, siguiendo esta ruta:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

Entonces borra la entrada CLSID que deseas quitar. Deje la CLSID, CFBFAE00-17A6-11D0-99CB-00C04FD64497, que es válido por defecto.

Salu2

Caito

carolxsiempre · Mensaje por **carolxsiempre** » 11 Oct 2004, 17:11

Como dice Caito nos alegramos que solucionaras el problema.

Tema cerrado

Saludos

Carolxsiempre