smbdins, tsmsetup y otros... (Solucionado)

[comovaeso]

bien, mi problema es el siguiente, y por mas q lo he buscado no he encontrado informacion al respecto...



mi padre entro en alguna pagina extraña este fin de semana, eso es lo q supongo, pq cd coji el ordenata el lunes la cosa no funcionaba bien...



pos bien, cd navego por internet me salen pagina extrañas, incluso de repente, sin acceder a ningun link; saltan popups incluso sin estar conectado a internet; me salen mensajes de q hay espias de un programa q yo no tengo instalado...bueno y varios fenomenos semejantes.



bien, dentro de los procesos he localizado varios exe q hasta ahora no habia visto: smbdins.exe, sethcd.exe, tsmsetup.exe...



los borre del registro y del sistema, despues de pasar el antivirus on line de panda y considerarlos este como troyanos o espias...pos bien, no hay manera...siguen manifestandose, cada vez mas frecuentemente.



alguien me puede exar una mano? son virus, troyanos, q son? y se pueden eliminar? gracias

[maura63]

tutorial anti-spyware



https://foros.zonavirus.com/viewtopic.php?t=4795





Saludos

maura63

[msc hotline sat]

Lo mas importante es seguir los consejos indicados en el tutorial, indicado por por Maura63, pero además complemento con dos puntos complementarios:



Por todo lo indicado puede que una se haya instalado una aplicacion que descargue troyanos, como el HOME SEARCH ASSISTANT. Comprobar que en panel de control-agregar/quitar programas, si está instalada dicha aplicacion e indicarlo en un proximo post



independientemente, aunque los tres ficheros indicados sean troyanos, spywares y downloaders, conviene eliminar posibles virus con un antivirus ONLINE, arrancando en modo seguro con funciones de red:



https://www.virustotal.com/es/



y eli,imar los que se detecten.



Cuentanos tus progresos, como respuesta de este Tema, gracias



saludos



ms, 1-02-2005

[comovaeso]

bien, gracias por contestar con tanta rapidez...



me he conectado para ver la respuesta. esta vez solo tengo tiempo para comprobar si tengo instalado el programa indicado en tu post. la respuesta es no.



sobre los programas ante spy del tutorial tengo varios instalados y no han conseguido eliminar el problema...



esta noche sigo el resto de los pasos para ver si lo consigo eliminar y os tendre informados.



gracias

[comovaeso]

bien os comento lo q he exo:



1.ya os comente q esos archivos extraños y q nunca me habian aparecido en el arbol del proceso, los detuve; borre los archivos q estaban es system32 y las entradas del registro.



2.desactive restaurar sistema



3.inicie en modo a prueba de errores.



4.pase el ad-aware a todo el sistema. me borro mas de 135archivos o entradas del registro.



5. pase el antivirus online q me recomendasteis. me localizo 4virus, uno de ellos un troyano.



6.ahora voy a iniciar de nuevo en modo normal...mañana os comento si han remitido los muchos problemas q estos archivos me habian dado, ok?



gracias de nuevo

[comovaeso]

nada, siento decir q no me ha servido para mucho...



enciendo el pc y se me siguen activando los mencionados procesos, aunq no esten en el ordenador, o haya eliminado todos los espias y virus q elimine ayer...



no se...gracias de todas las maneras.

[maura63]

Prueba con esto



· Hijackthis version: 1.99



Sitio 1 - Descargar Hijackthis



http://www.spywareinfo.com/~merijn/files/hijackthis.zip





Descarga y descomprimes, con todos los programas cerrados incluso el internet explorer, lo ejecutas, pulsa scan y luego en save, se abrira un fichero log txt con el resultado, haz un copiar y pegas el resultado como respuesta a este tema.



Comprueba tambien conectando con windows update que no te falten parches.





Saludos

maura63

[msc hotline sat]

Aparte de enviarnos el log del HJT, mira lo que te indiqué en anterior post:



[quote=msc]



Por todo lo indicado puede que una se haya instalado una aplicacion que descargue troyanos, como el HOME SEARCH ASSISTANT. Comprobar que en panel de control-agregar/quitar programas, si está instalada dicha aplicacion e indicarlo en un proximo post



[/quote]



Pues ello no se vería en dicho log del HJT, y vistos los 135 bichos que ya tenías, podría muy bien ser que que tuvieras instalada la aplicacion HOME SEARCH ASSISTANT en cuestion.



Compruebalo mikrando en PANEL DE CONTROL-AGREGAR/QUITAR PROGRAMAS., y dinos algo al respecto.



Porque si es así, como no se desinstale dicha aplicacione, seguirás descargando troyandos, virus, y demás.



saludos



ms, 2-02-2005

[comovaeso]

aqui esta lo q me habeis pedido...



Logfile of HijackThis v1.99.0

Scan saved at 20:41:53, on 02/02/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\smbdins.exe

C:\WINDOWS\System32\sethcd.exe

C:\WINDOWS\System32\tsmsetup.exe

C:\Documents and Settings\Julián García\Mis documentos\HijackThis_1.99.0.exe



R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.es

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por UNI2

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {036F49D3-24A6-42A9-9B98-98DE1BA70883} - C:\WINDOWS\System32\qwsxp.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Name - {5BB05F31-4BE7-436B-ABE1-AA8A421993E6} - C:\WINDOWS\System32\msahp.dll

O2 - BHO: Name - {8A18D17E-2DC1-4F9E-B55D-2D641380C0BC} - C:\WINDOWS\System32\msahp.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfatx.exe

O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\windns.exe

O4 - HKCU\..\Run: [SpySweeper] C:\Archivos de programa\Spy Sweeper\SpySweeper.exe /0

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Startup: ubisoft register.lnk = C:\Archivos de programa\Ubi Soft\Register\schedule.exe

O4 - Startup: Update Grokster.lnk = ?

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV2K\QuickTV.exe

O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Descargar con &BitSpirit - C:\Archivos de programa\BitSpirit\bsurl.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: Erotic - {8E65B894-C2E9-11D5-BCD3-00E018987501} - C:\@culitos_es\@culitos_es.exe (file missing)

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\spc-kazemule4\local.htm (file missing)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOOM~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOOM~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab

O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {2C1651EF-8827-11D6-91A2-00E02964E8E3} - http://www.chicasalternativas.com/ruboskizo.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://espana01.netvenda.com/trithon.cab

O16 - DPF: {5DF6FB84-749D-4AAE-AE37-708DE09B0588} - http://213.229.160.219/dialers/dial.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BD88ECED-E2FE-4672-B44A-285EF8F600DC}: NameServer = 69.50.176.156,195.225.176.31

O17 - HKLM\System\CCS\Services\Tcpip\..\{C481BC34-1C03-4D8F-B0B3-2E53EBE6BF1A}: NameServer = 69.50.176.156,195.225.176.31

O18 - Filter: tœ†5￾òÏTÆR - {460D03D3-1F9E-4234-96B1-360F1F1EEAAF} - C:\WINDOWS\System32\qwsxp.dll

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Event Log Watch - Unknown - C:\WINDOWS\LogWatNT.exe (file missing)

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe



bueno, solo deciros q esto va a peor...se me han manifestado mas troyanos y no encuentro entre mis programas instalaos ese q mencionais...gracias por todo

[maura63]

Te falta el SP1 y SP2 del XP junto a este ultimo se instalara el IE SP2 tambien + parches





Logfile of HijackThis v1.99.0

Scan saved at 20:41:53, on 02/02/2005

Platform: [color=red]Windows XP [/color](WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)





Conecta via windows update e intenta actualizar.Si no puedes

Si ves que no te deja bajar las actualizaciones prueba estas utilidades antes y vuelve a intentar



lanza la utilidad ELILSA y acepta en BLOQUEAR EL INTENTO DE INTRUSION, lo cual cerrará el port TCP445 por donde te puede estár atacando el intruso y podrás bajar e instalar los parches:



https://foros.zonavirus.com/viewtopic.php?p=3030#3030



Para la vulnerabilidad DCOMRPC,



http://www.zonavirus.com/descargas/EliRPCA.exe



Saludos

maura63







Saludos

maura63

[comovaeso]

bien, la actualizacion no me dio ningun problema...descargue lo ultimo y lo instale...ahora q debo hacer, repetir lo de ayer (ad-awre, antivirus...) o como lo hago?



gracias

[caito]

Ahora ejecuta el AdAware se, antes actualízalo.

Soluciona todo lo que te encuentre.

lanza un av on line y por último reinicia en modo normal y postea un nuevo log .

Salu2

Caito

[comovaeso]

de acuerdo, esto me llevara un rato...el antivirus on-line, cualqiera, verdad? el panda, p.ej valdria, no...



os informo en una horita¡¡¡

[caito]

Sip, otro:

https://www.virustotal.com/es/



Salu2

Caito

[comovaeso]

a ver, el log despues del update de windows, desact restaurar sistema, arranq en modo seguro, ad-aware (con tres resultados)y panda on line con este resultado:



Incidencia Estado Elemento



Virus:W32/Sdbot.BNX.worm Desinfectado Sistema Operativo

Virus:Trj/Downloader.ALP Desinfectado C:\Documents and Settings\Antonio García\Configuración local\Archivos temporales de Internet\Content.IE5\85UJ016N\update[1].exe

Virus:Trj/Downloader.ALP Desinfectado C:\Documents and Settings\Antonio García\Configuración local\Archivos temporales de Internet\Content.IE5\K163ST2Z\exploit[1].exe

Virus:Trj/StartPage.SC Desinfectado C:\WINDOWS\system32\iesp2.dll

Virus:W32/Sdbot.BNX.worm Desinfectado C:\WINDOWS\system32\wuampd.exe





Logfile of HijackThis v1.99.0

Scan saved at 23:24:37, on 02/02/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\system32\windns.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\AVerTV2K\QuickTV.exe

C:\Documents and Settings\Julián García\Mis documentos\HijackThis_1.99.0.exe



R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.es

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por UNI2

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {036F49D3-24A6-42A9-9B98-98DE1BA70883} - C:\WINDOWS\System32\qwsxp.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Name - {5BB05F31-4BE7-436B-ABE1-AA8A421993E6} - C:\WINDOWS\System32\msahp.dll

O2 - BHO: Name - {6A925060-0C87-48CF-9D90-4E85A30D771D} - C:\WINDOWS\System32\msahp.dll

O2 - BHO: Name - {8A18D17E-2DC1-4F9E-B55D-2D641380C0BC} - C:\WINDOWS\System32\msahp.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll (file missing)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe

O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfatx.exe

O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\windns.exe

O4 - HKCU\..\Run: [SpySweeper] C:\Archivos de programa\Spy Sweeper\SpySweeper.exe /0

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Startup: ubisoft register.lnk = C:\Archivos de programa\Ubi Soft\Register\schedule.exe

O4 - Startup: Update Grokster.lnk = ?

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: QuickTV.lnk = C:\Archivos de programa\AVerTV2K\QuickTV.exe

O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Descargar con &BitSpirit - C:\Archivos de programa\BitSpirit\bsurl.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: Erotic - {8E65B894-C2E9-11D5-BCD3-00E018987501} - C:\@culitos_es\@culitos_es.exe (file missing)

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\spc-kazemule4\local.htm (file missing)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOOM~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\YAHOOM~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.es

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab

O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {2C1651EF-8827-11D6-91A2-00E02964E8E3} - http://www.chicasalternativas.com/ruboskizo.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://espana01.netvenda.com/trithon.cab

O16 - DPF: {5DF6FB84-749D-4AAE-AE37-708DE09B0588} - http://213.229.160.219/dialers/dial.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107374641763

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BD88ECED-E2FE-4672-B44A-285EF8F600DC}: NameServer = 69.50.176.156,195.225.176.31

O17 - HKLM\System\CCS\Services\Tcpip\..\{C481BC34-1C03-4D8F-B0B3-2E53EBE6BF1A}: NameServer = 69.50.176.156,195.225.176.31

O18 - Filter: tœ†5￾òÏTÆR - {460D03D3-1F9E-4234-96B1-360F1F1EEAAF} - C:\WINDOWS\System32\qwsxp.dll

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Event Log Watch - Unknown - C:\WINDOWS\LogWatNT.exe (file missing)

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[msc hotline sat]

Sigues si haber actualizado los parches de XP.



Lanza el windowsupdate, actualiza, y si ya has eliminado virus y spywares, comprueba si te va bien o tienes algun problema, y nos lo comentas.



El HJT solo es necesario cuando tras eliminar virus y troyanos existen problemas no detectados, pero dinos cuales son en tal caso.



saludos



ms, 3-02-2005

[comovaeso]

lo siento, ayer cd entre en windows update, me instalo una actualizacion y pense q ya estaba, pero cd puse el log me di cuenta, q no...



solo comentaros q a pesar de pasar el ad-aware ayer y el antivirus, con los resultados ya comentaos, el problema volvio a surgir...no se q hacer...



bueno, cd instale las actualizaciones (q estamos en ello), os comentare si el problema continua.



gracias.

[comovaeso]

nada, no hay manera...ni siqiera me deja instalar las actualizaciones...se me qeda colgao cd va a instalar la primera despues de descargarlas...a ver si esta noche intento con lo q me proponian en un post anterior para instalarlas...q desastre¡¡¡

[maura63]

En modo seguro y desactivando rstaurar sistema elimina estas entradas con hijackthis.



R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {036F49D3-24A6-42A9-9B98-98DE1BA70883} - C:\WINDOWS\System32\qwsxp.dll (file missing)

O2 - BHO: Name - {5BB05F31-4BE7-436B-ABE1-AA8A421993E6} - C:\WINDOWS\System32\msahp.dll

O2 - BHO: Name - {6A925060-0C87-48CF-9D90-4E85A30D771D} - C:\WINDOWS\System32\msahp.dll

O2 - BHO: Name - {8A18D17E-2DC1-4F9E-B55D-2D641380C0BC} - C:\WINDOWS\System32\msahp.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll (file missing)

O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe

O9 - Extra button: Erotic - {8E65B894-C2E9-11D5-BCD3-00E018987501} - C:\@culitos_es\@culitos_es.exe (file missing)

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\spc-kazemule4\local.htm (file missing)

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab

O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab

O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {2C1651EF-8827-11D6-91A2-00E02964E8E3} - http://www.chicasalternativas.com/ruboskizo.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://espana01.netvenda.com/trithon.cab

O16 - DPF: {5DF6FB84-749D-4AAE-AE37-708DE09B0588} - http://213.229.160.219/dialers/dial.cab

O18 - Filter: tœ†5￾òÏTÆR - {460D03D3-1F9E-4234-96B1-360F1F1EEAAF} - C:\WINDOWS\System32\qwsxp.dll

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

O23 - Service: Event Log Watch - Unknown - C:\WINDOWS\LogWatNT.exe (file missing)



En modo normal y antes de conectar comprueba que el firewall que usas funciona e intenta conectar con wupdate.



Saludos

maura63

[comovaeso]

de acuerdo, a ello voy...os informare en cto lo haga

[comovaeso]

bien, consegui actualizar windows.



segui los pasos, borre las entradas q me dijisteis y logre descargar las actualizaciones.



como ayer pase el ad-aware y el anti virus supongo q no sea necesario volver a hacerlo ahora, no?



bueno, os ire informando al respecto de si el problema remite o continua. muchas gracias por todo.

[maura63]

Pasa el Ad_aware y Spybot tambien junto al antivirus en modo seguro para estar mas tranquilos.



Damos por solucionado el tema y cerramos. De tener mas problemas ya sabes donde estamos.



Saludos

maura63