MATRIX (solucionado)

boss · Mensaje por **boss** » 12 Mar 2005, 02:58

cada vez que hago un analisis con el spybot s&d me salen 3 entradas de matrix. he hecho lo del tutorial y asi todo vuelve a salir una y otra vez que lo elimino con dicho programa, y ya no se ke hacer.

de antemano gracias

caito · Mensaje por **caito** » 12 Mar 2005, 04:13

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia para el HijackThis (por ejemplo una carpeta C:\HijackThis\). Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Salu2

Caito

Mensaje por **msc hotline sat** » 12 Mar 2005, 10:06

A titulo de informacion, el Matrix es un dialer que utiliza las conocidas DLL MSA32CHK y MSA64CHK.DLL, segun version, que tantas veces ha sido posteado el problema de la eliminacion de la clave de carga, tras eliminar dichas DLL, lo cual solucionamos con el BUSCAREG.EXE, y que normalmente se soluciona con las utilidades antispyware conocidas, pero siempre y cuando se lancen habiendo arrancado en modo seguro, como se indica en los tutoriales de cirus y spywares.

En cualquier caso sugiero probar con el CWSHREDDER, arrancando en la forma indicada, y pulsar en FIX para eliminar lo que detecte:

_________

CWSHREDDER 2.13

http://cwshredder.net/bin/CWShredder.exe

_________

saludos

ms, 12-03-2005

boss · Mensaje por **boss** » 12 Mar 2005, 14:02

pos bueno esto eslo ke sale:

poLogfile of HijackThis v1.99.1

Scan saved at 13:59:36, on 12/03/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\carpserv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\OpenOffice.org1.0.2\program\soffice.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\Usuario\CONFIG~1\Temp\Rar$EX00.515\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: HTML Class - {9C5B2F29-1F46-4639-A6B4-828942301D3E} - C:\WINDOWS\System32\SIPSPI32.dll

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1629.0\es\msntb.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [supervideospornoes-htm] RunDll32 UDConn.dll,RunAsIcon supervideospornoes

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [LoadSIPS] rundll32.exe C:\WINDOWS\System32\SIPSPI32.dll,SIPSPI32

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1020.dll,InstantAccess

O4 - Startup: OpenOffice.org 1.0.2.lnk = C:\Archivos de programa\OpenOffice.org1.0.2\program\quickstart.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1020_ES_XP.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab

O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_5_ES_XP.cab

O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/TriacomUD_1.0.0.2ie.cab?

O16 - DPF: {D9CA5D65-52BE-4790-BEA3-F3E2F5A76B02} (WebRecomendada Class) - http://62.97.81.200/dll/clickweb.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

caito · Mensaje por **caito** » 12 Mar 2005, 15:45

Primero que nada guarda el hijack en su propia carpeta por ej :C>Limpiar>Hijack

Luego esto:

Baja este programa:

disk cleaner

http://www.xs4all.nl/~mp2004/

desactiva Restaurar sistema

Arranca en Modo seguro

Cierra todas las aplicaciones

Lanza el Hijack

Scan y luego Fix a estas:

O2 - BHO: HTML Class - {9C5B2F29-1F46-4639-A6B4-828942301D3E} - C:\WINDOWS\System32\SIPSPI32.dll

O4 - HKLM\..\Run: [LoadSIPS] rundll32.exe C:\WINDOWS\System32\SIPSPI32.dll,SIPSPI32

O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1020.dll,InstantAccess

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1020_ES_XP.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab

O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_5_ES_XP.cab

O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/TriacomUD_1.0.0.2ie.cab?

O16 - DPF: {D9CA5D65-52BE-4790-BEA3-F3E2F5A76B02} (WebRecomendada Class) - http://62.97.81.200/dll/clickweb.cab

Cierra el Hijack

Asegúrate que se vean todos los archivos:

Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar

Busca estos archivos y si están elimínalos:

C:\WINDOWS\System32\SIPSPI32.dll

rundll32.exe p2esocks_1020.dll

Con el Disk Cleaner borra Archivos Temp. de Internet,Temp. de Sistema,cookies,historial

Vacía la Papelera

Ejecuta el AdAware Se actualizado al 10/03/05

Reinicia normal y cuenta si se solucionó

Salu2

Caito

boss · Mensaje por **boss** » 12 Mar 2005, 16:59

Simplemente una cuestion que no me a quedado clara , es como se hace fix a lo que me has señalado.

Gracias.

caito · Mensaje por **caito** » 12 Mar 2005, 17:11

Marcas las entradas que te señalé con un clik, luego vas a Fix Chequed y haces un click allí, ya está...

Sigue con las demás instrucciones.

Salu2

Caito

boss · Mensaje por **boss** » 12 Mar 2005, 19:07

pues he hecho lo que me has indicado , y aparentemente ya esta solucionado el problema ya que he hecho dos analisis con el spybot d&s y no a encontrado nada de nada.

Solo decirte que michisimas gracias por todo.

caito · Mensaje por **caito** » 12 Mar 2005, 19:30

Me alegra que lo hayas solucionado :lol:

Puedes bajar este programa para impedir futuras infecciones:

http://www.javacoolsoftware.com/spywareblaster.html

Salu2

Caito

Mensaje por **msc hotline sat** » 13 Mar 2005, 10:17

Y solucionado el problema, cerramos el Tema

saludos

ms, 13-03-2005