winnt\fash.exe;Bck/Agent.K;Virus detectado

jmvivanco · Mensaje por **jmvivanco** » 23 Nov 2004, 06:30

[color=darkblue]Hola, Buenas noches!

A ver:

El simbolito del panda lo tengo en rojo (seguro que no es bueno), he revisado a ver que me decía y:[/color]

VIRUS;SERVIDOR;19/11/2004-12:32;c:\documents and settings\responsable\configuración local\archivos temporales de internet\content.ie5\c9abkdif\software[1].cab;Trj/Agent.AW;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;19/11/2004-12:32;c:\winnt\temp\software.cab;Trj/Agent.AW;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;19/11/2004-12:32;c:\documents and settings\responsable\configuración local\archivos temporales de internet\content.ie5\c9abkdif\fash[1].cab;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;19/11/2004-12:32;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Desinfectar;

VIRUS;SERVIDOR;19/11/2004-12:38;c:\documents and settings\responsable\configuración local\archivos temporales de internet\content.ie5\0923cda7\fash[1].cab;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;19/11/2004-12:38;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;19/11/2004-12:38;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Desinfectar;

VIRUS;SERVIDOR;19/11/2004-20:33;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Desinfectar;

VIRUS;SERVIDOR;19/11/2004-20:33;c:\documents and settings\responsable\configuración local\archivos temporales de internet\content.ie5\0923cda7\fash[1].cab;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;20/11/2004-06:22;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;20/11/2004-06:22;c:\documents and settings\responsable\configuración local\archivos temporales de internet\content.ie5\k1y3s5yn\fash[1].cab;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;20/11/2004-14:22;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;20/11/2004-14:22;c:\documents and settings\responsable\configuración local\archivos temporales de internet\content.ie5\0huzktqf\fash[1].cab;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;20/11/2004-14:22;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Desinfectar;

VIRUS;SERVIDOR;20/11/2004-22:22;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;20/11/2004-22:22;c:\documents and settings\responsable\configuración local\archivos temporales de internet\content.ie5\k1y3s5yn\fash[1].cab;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;20/11/2004-22:22;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Desinfectar;

VIRUS;SERVIDOR;21/11/2004-06:23;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Desinfectar;

VIRUS;SERVIDOR;21/11/2004-06:23;c:\documents and settings\responsable\configuración local\archivos temporales de internet\content.ie5\0huzktqf\fash[1].cab;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;21/11/2004-14:23;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;21/11/2004-14:23;c:\documents and settings\responsable\configuración local\archivos temporales de internet\content.ie5\k1y3s5yn\fash[1].cab;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;21/11/2004-14:23;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;21/11/2004-22:23;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;21/11/2004-22:23;c:\documents and settings\responsable\configuración local\archivos temporales de internet\content.ie5\0huzktqf\fash[1].cab;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;21/11/2004-22:23;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Desinfectar;

VIRUS;SERVIDOR;22/11/2004-06:23;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Desinfectar;

VIRUS;SERVIDOR;22/11/2004-06:23;c:\documents and settings\responsable\configuración local\archivos temporales de internet\content.ie5\0huzktqf\fash[1].cab;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;22/11/2004-14:24;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Desinfectar;

VIRUS;SERVIDOR;22/11/2004-14:24;c:\documents and settings\responsable\configuración local\archivos temporales de internet\content.ie5\8h6nchyz\fash[1].cab;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;23/11/2004-09:41;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;23/11/2004-09:41;c:\documents and settings\responsable\configuración local\archivos temporales de internet\content.ie5\k1y3s5yn\fash[1].cab;Bck/Agent.K;Virus detectado por el residente;Renombrar;

VIRUS;SERVIDOR;23/11/2004-09:41;c:\winnt\fash.exe;Bck/Agent.K;Virus detectado por el residente;Desinfectar;

---

[color=darkblue]El caso es que sigue en rojo. El PC va lentillo, además hay un proceso que nunca había visto JAWA32.EXE que es el que más memoria consume. Además me pasa una cosa muy rarilla: En algunas web salen enlaces a buscadores en palabras referentes a marcas comerciales, y esos enlaces no son de esa página. Es decir, que debo tener algo que interfiera en mi navegador (IE6) y cree esos enlaces, cada vez sale una buscador diferente, x ejem: "http://www.shopping.com/xGS-<a href="http://www.serverlogic3.com/lm/rtl3.asp?si=1&k=trivial%20pursuits" onmouseover="window.status='Trivial_Pursuits'; return true;" onmouseout="window.status=''; return true;">Trivial_Pursuits</a>~NS-1~linkin_id-3058379", la palabra sobre la que he pulsado es <a href="http://www.serverlogic3.com/lm/rtl3.asp?si=1&k=trivial%20pursuit" onmouseover="window.status='Trivial Pursuit'; return true;" onmouseout="window.status=''; return true;">Trivial Pursuit</a>; incluso al enviar este post las palabras Trivial Pus.. se convierten un enlace.

Cosas que he intentado:

-Un antivirus online: eTrust, o algo así, lo he visto en este foro.

-Ad ware, spyboot, y alguna utilidad más que tenéis por ahí.

Todo lo que ha ido saliendo o he borrado, pero aun así sigue llendo lentillo y los enlaces siguen ahí.

Cuando tengáis un rato me podríais hecha una mano??

Gracias de antemano[/color]

caito · Mensaje por **caito** » 23 Nov 2004, 07:18

si usas XP o ME antes de limpiar tu pc debes deshabilitar Restaurar sistema y mejor arrancar en Modo Seguro ( dinos tu sist.operativo y te diremos cómo ).

Mira esto :

https://foros.zonavirus.com/viewtopic.php?t=1081

Y esto :

Salu2

Caito

jmvivanco · Mensaje por **jmvivanco** » 23 Nov 2004, 19:10

Buenos días.

Noticias nuevas, el panda ya está en verde (como estaba habitualmente); pero el resto sigue igual.

Mi SO es Windows2000 server

jmvivanco · Mensaje por **jmvivanco** » 23 Nov 2004, 21:07

Este es el log que me ha dado el "Hijackthis", a ver si me podéis ayudar:

[color=green]

Logfile of HijackThis v1.98.2

Scan saved at 12:03:03, on 24/11/2004

Platform: Windows 2000 SP2 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\msdtc.exe

C:\WINNT\system32\Dfssvc.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\ismserv.exe

C:\WINNT\System32\llssrv.exe

C:\WINNT\System32\NMSSvc.exe

C:\WINNT\system32\ntfrs.exe

C:\WINNT\System32\pavsrv50.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\System32\AVENGINE.EXE

C:\WINNT\System32\locator.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\system32\SRVTSK.EXE

C:\WINNT\system32\stisvc.exe

C:\Archivos de programa\ACOTEC\TServer30\TServer30.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\System32\dns.exe

C:\WINNT\System32\inetsrv\inetinfo.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\taskmgr.exe

C:\WINNT\System32\PROMon.exe

C:\WINNT\System32\hkcmd.exe

C:\WINNT\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINNT\loadqm.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\ARCHIV~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\WINNT\dhbrwsr.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINNT\jawa32.exe

D:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

D:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe

C:\WINNT\System32\pavnt.exe

C:\Program Files\ArGo Software Design\Mail Server\mailserver.exe

C:\ARCHIV~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe

C:\WINNT\System32\hpoipm07.exe

C:\Archivos de programa\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe

C:\Archivos de programa\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe

C:\WINNT\dhsvr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\Mis documentos\Consignas\Programacion\utilidades virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pueblaalmoradiel.org/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: URLSearch Class - {965A592F-8EFA-4250-8630-7960230792F1} - C:\WINNT\System32\cdsm32.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: LinkTracker Class - {6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} - C:\WINNT\System32\lmf32.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINNT\dealhlpr.dll

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver\LVCOMS.EXE

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe

O4 - HKLM\..\Run: [PAVNT] PAVNT.exe

O4 - HKLM\..\Run: [WinampAgent] "D:\Archivos de programa\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [!!!!!es01] c:\windows\celebridad.exe r

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\Quick Time\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Archivos de programa\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain

O4 - HKLM\..\Run: [DealHelperUpdate] C:\WINNT\DHUpdt.exe

O4 - HKLM\..\Run: [DealHelperBrwsr] C:\WINNT\dhbrwsr.exe

O4 - HKLM\..\Run: [Jawa32] C:\WINNT\jawa32.exe

O4 - HKLM\..\Run: [fash] C:\WINNT\fash.exe

O4 - HKLM\..\RunOnce: [SpybotSnD] "D:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Jawa32] C:\WINNT\jawa32.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: ArGoSoft Mail Server.lnk = C:\Program Files\ArGo Software Design\Mail Server\mailserver.exe

O4 - Global Startup: Acrobat Assistant.lnk = D:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: HPAiODevice(hp officejet d series) - 1.lnk = C:\Archivos de programa\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Bromas y chistes - {068C36CF-483E-4CA8-A7F2-10EFFDA49C45} - http://www.accesoplugin.com/prom/a_bromas2/?l=downfree&ver=2&t=new (file missing)

O9 - Extra button: Antivirus - {4358161B-A4B8-498E-8019-3DAB50DFD578} - http://www.accesoplugin.com/prom/a_virus2/?l=downfree&ver=2&t=new (file missing)

O9 - Extra button: (no name) - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\stp-pillamusica2\entrar.html (file missing)

O9 - Extra button: Download Software - {C8950078-94A4-4C32-BB9C-4666357965AF} - C:\downfree\index.htm (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll

O16 - DPF: {0638A490-83D3-11D4-9A98-009027713462} (DinaTierraCtl.DinaTierra) - http://w3.mapya.es/dinatierra_v3/Redist/DinaTierraCtl.CAB

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D} (PremiumInternacional Class) - http://www.accesoplugin.com/dialercab/PPremiumInternacional.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://www.accesoplugin.com/dialercab/IberoDialerHTML.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {87BF5318-D5F0-41F4-9D14-47967FA8C12B} - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {E8A4D743-13C0-4E03-A2D9-0C92FE038200} (TragsatecRuntimeVB.TTecRuntimeVBCtl) - http://w3.mapya.es/dinatierra_v3/Redist/RuntimeVB.CAB

O16 - DPF: {FE4BBEA8-1EFD-4B8A-BD1B-341CCDBEEAA6} (Dhsigned Control) - http://ads.dealhelper.com/updates/DealHelperNew.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ctijccm.es

O17 - HKLM\System\CCS\Services\Tcpip\..\{54E714D6-C069-4692-8A98-C868284497E8}: NameServer = 192.168.0.50,80.58.0.33,80.53.32.97

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ctijccm.es

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ctijccm.es

O18 - Filter: text/html - {E64E4E60-EF13-4C79-A159-119762E18181} - C:\WINNT\System32\lmf32.dll

[/color]

Muchas gracias de nuevo

caito · Mensaje por **caito** » 23 Nov 2004, 22:16

Abre el Administrador de Procesos y cierra los siguientes procesos (si es que están ahí):

C:\WINNT\dhbrwsr.exe

C:\WINNT\jawa32.exe

C:\WINNT\dhsvr.exe

C:\WINNT\fash.exe

C:\WINNT\DHUpdt.exe

Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.

Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):

R3 - URLSearchHook: URLSearch Class - {965A592F-8EFA-4250-8630-7960230792F1} - C:\WINNT\System32\cdsm32.dll

O2 - BHO: LinkTracker Class - {6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} - C:\WINNT\System32\lmf32.dll

O2 - BHO: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINNT\dealhlpr.dll

O4 - HKLM\..\Run: [!!!!!es01] c:\windows\celebridad.exe r>solo si no conoces a que se refiere

O4 - HKLM\..\Run: [DealHelperUpdate] C:\WINNT\DHUpdt.exe

O4 - HKLM\..\Run: [DealHelperBrwsr] C:\WINNT\dhbrwsr.exe

O4 - HKLM\..\Run: [Jawa32] C:\WINNT\jawa32.exe

O4 - HKLM\..\Run: [fash] C:\WINNT\fash.exe

O4 - HKCU\..\Run: [Jawa32] C:\WINNT\jawa32.exe

O9 - Extra button: Bromas y chistes - {068C36CF-483E-4CA8-A7F2-10EFFDA49C45} - http://www.accesoplugin.com/prom/a_bromas2/?l=downfree&ver=2&t=new (file missing)

O9 - Extra button: Antivirus - {4358161B-A4B8-498E-8019-3DAB50DFD578} - http://www.accesoplugin.com/prom/a_virus2/?l=downfree&ver=2&t=new (file missing)

O9 - Extra button: (no name) - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\stp-pillamusica2\entrar.html (file missing)

O9 - Extra button: Download Software - {C8950078-94A4-4C32-BB9C-4666357965AF} - C:\downfree\index.htm (file missing)

O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D} (PremiumInternacional Class) - http://www.accesoplugin.com/dialercab/PPremiumInternacional.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://www.accesoplugin.com/dialercab/IberoDialerHTML.cab

O16 - DPF: {87BF5318-D5F0-41F4-9D14-47967FA8C12B} - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {E8A4D743-13C0-4E03-A2D9-0C92FE038200} (TragsatecRuntimeVB.TTecRuntimeVBCtl) - http://w3.mapya.es/dinatierra_v3/Redist/RuntimeVB.CAB

O16 - DPF: {FE4BBEA8-1EFD-4B8A-BD1B-341CCDBEEAA6} (Dhsigned Control) - http://ads.dealhelper.com/updates/DealHelperNew.cab

da click en el botón "Fix Checked"

Borra Archivos Temporales de Internet,cookies,historial,contenido de carpeta Temp y vacía la papelera.

Haz que se vean todos los archivos :

Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Ahora busca los siguientes archivos y carpetas y bórralos:

C:\WINNT\dhbrwsr.exe

C:\WINNT\jawa32.exe

C:\WINNT\dhsvr.exe

C:\WINNT\fash.exe

C:\WINNT\DHUpdt.exe

Reinicia y cuenta cómo te fue.

Salu2

Caito

Mensaje por **maura63** » 24 Nov 2004, 00:37

Y actualiza tu sistema operativo, tienes el w2000 SP2 y debes tener el SP4 mas parches correspondientes.

Conecta con windows update y actualiza.

Saludos

maura63

jmvivanco · Mensaje por **jmvivanco** » 25 Nov 2004, 01:50

Gracias Gente.

[color=darkblue]El ordenador va más rápido y no está tan suvido de revoluciones. En los precesos han desaparecido aquellos que me dijisteis que eliminara, ahora aparecen 3 procesos iguales SVCHOST.EXE (a lo mejor antes estaba y no me había dado cuenta), no se porque.[/color]

[color=blue]Los enlaces de los que os hablé siguen apareciendo pero ahora las páginas que abren no existen. Me imagino que quedará algo pero no se donde mirar para borrarlo.[/color][color=olive]Más cosillas, cuando enciendo el ordenador me da varios avisos el SpyBot, diciéndome que el registro ha cambiado, y me van apareciendo las claves que borré del JAWA32.EXE, DHBRWR.EXE, dhsvr.exe, etc, yo pulso sobre "Aply Change" (o algo así). Si no debo hacer eso indicádmelo.[/color][color=red]Ah! y también cuando ya casi está cargada la sesión de windows me sale una ventana con titulo RUNDLL y me dice que no se a podido cargar el archivo C:\Archivos de programa\WildTangent\Apps\CDA\cdaEngine0400.dll[/color]

Saludoss y Graciasss por vuestra impagable ayuda!!

jmvivanco · Mensaje por **jmvivanco** » 25 Nov 2004, 02:02

Buenas Gente

[color=darkblue]Os informo: el ordenador va más rápido al igual que la navegación. Los procesos raros desaparecieron, ahora lo único raro que veo es que el proceso SVCHOST.EXE está tres veces, ¿debo hacer algo al respecto?[/color]

[color=olive]Los enlaces de que os hable siguen apareciendo solo que ya no redireccionan a ningún sitio, ahora aparece el pantallazo de "no se puede encontrar la página". ¿Alguna sugerencia para quitarmelos definitivamente de encima?[/color]

[color=darkred]Cuando enciendo el ordenador, al cargar la sesión de windows me aparece una ventana de error con título "RUNDLL", diciéndome que no encuentra el archivo "C:\Archivos de programa\WildTangent\Apps\CDA\cdaEngine0400.dll";

El spybot también me avisa que el registro a cambiado, y me salen las entradas que borré (jawa32.exe, dhbrwsr.exe, dhsvr.exe, etc), yo pulso sobre "Aply Change". Si debo hacer otra cosa decirmelo, ok?[/color]

Y creo que eso es todo, Muchas gracias por vuestra ayuda

jmvivanco · Mensaje por **jmvivanco** » 25 Nov 2004, 02:06

Buenas Gente

[color=darkblue]Os informo: el ordenador va más rápido al igual que la navegación. Los procesos raros desaparecieron, ahora lo único raro que veo es que el proceso SVCHOST.EXE está tres veces, ¿debo hacer algo al respecto?[/color]

[color=olive]Los enlaces de que os hable siguen apareciendo solo que ya no redireccionan a ningún sitio, ahora aparece el pantallazo de "no se puede encontrar la página". ¿Alguna sugerencia para quitarmelos definitivamente de encima?[/color]

[color=darkred]Cuando enciendo el ordenador, al cargar la sesión de windows me aparece una ventana de error con título "RUNDLL", diciéndome que no encuentra el archivo "C:\Archivos de programa\WildTangent\Apps\CDA\cdaEngine0400.dll";

El spybot también me avisa que el registro a cambiado, y me salen las entradas que borré (jawa32.exe, dhbrwsr.exe, dhsvr.exe, etc), yo pulso sobre "Aply Change". Si debo hacer otra cosa decirmelo, ok?[/color]

Y creo que eso es todo, Muchas gracias por vuestra ayuda

caito · Mensaje por **caito** » 25 Nov 2004, 03:34

Los procesos svshost son normales,en cuanto al SpyBot yo no lo uso , espero que alguien que lo tenga te aconseje ( me parece mejor el AdAware Se ).

En cuanto al mensaje que no encuentra la dll, es debido a que has desinstalado parcialmente ese programa, busca de instalalo otra vez y bórralo bien o métete en el Regedit y borra todas las entradas que se refieran a eso.

Si quieres manda un nuevo log.

Salu2

Caito

Mensaje por **maura63** » 25 Nov 2004, 20:57

En cuanto a las DLL que encuentra a faltar al haber borrado un programa, utiliza esta herramienta la ejecutas, introduce la cadena pulsa buscar y eliminar.

BUSCAREG.EXE: BUSCA UNA CADENA EN EL REGISTRO Y PINCHANDO ENCIMA DE LAS ENCONTRADAS PERMITE BORRARLAS MUY FACILMENTE. ADEMAS CREA FICHERO EXPORTACION DEL REGISTRO POR SI SE NECESITA VOLVER ATRAS:

http://www.zonavirus.com/descargas/buscareg.asp

Hazlo en modo seguro.

Y sobre Spybot pasalo una vez actualizado en modo seguro, debes dar a solucionar problemas y al boton de inmunizar para que bloqueo todos los elementos malignos conocidos.

Hay que pulsarlo despues de cada actualizacion.

Y sobre el aviso que te da, es cuando se producen cambios en los valores del registro. Si estas por ejemplo descargando un programa y te avisa del cambio, si es del programa en cuestion debes aceptar.

Ahora.. si estas por ejemplo en Word o Excel y de buenas a primeras te salta el aviso sera por algo raro.

Y sobre que utilizar de los dos, pues te puedo decir al usar los dos conjuntamente, que no detectan lo mismo. Se complementan y no dan ningun problema.

Saludos

maura63