Barra azul parte inferior y ventanas emergentes(solucionado)

JAVI ALCALA · Mensaje por **JAVI ALCALA** » 04 Mar 2005, 18:48

He estado leyendo el tutorial de spyware y he pasado varios programas de eliminación sin conseguir quitar un último inquilino. Se trata de una barra azul con varios botones "casino", "make money", "music" etc, etc, que cierro pulsando la "x" y no vuelve a aparecer hasta que vuelvo a lanzar el internet explorer. Mientras navego salen unas ventanas con publicidad, iconos, etc.

No entiendo mucho de informática, lo poco que sé lo aprendí en vuestro foro y me ha servido para quitar bastantes cosas.

Os pongo la infomacion que falcilita hijackThis

Logfile of HijackThis v1.99.1

Scan saved at 18:18:53, on 04/03/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\CTSvcCDA.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\devldr32.exe

C:\Archivos de programa\Creative\SBLive2k\Launcher\CTLauncher.exe

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\SYMANT~1\VPTray.exe

C:\WINNT\system32\ctfmon.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\unzipped\hijackthis[1]\HijackThis.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Speed racer] C:\Archivos de programa\Creative\SBLive2k\PlayCenter\CTSRReg.exe

O4 - HKLM\..\Run: [Creative Launcher] C:\Archivos de programa\Creative\SBLive2k\Launcher\CTLauncher.exe

O4 - HKLM\..\Run: [LiteBalmProxyBat] C:\Documents and Settings\All Users.WINNT\Datos de programa\4 size lite balm\ProcWeb.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKCU\..\Run: [Link audio] C:\DOCUME~1\ADMINI~1.PCJ\DATOSD~1\LOUDTR~1\RuleThisWeb.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.awmdabest.com (HKLM)

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted IP range: 206.161.125.149

O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://C:one.MHT!http://www.t058.com//inst//x.chm::/open.exe

O16 - DPF: {2517F764-6F60-4ADD-8FCF-137E5B220FF6} (VacPro.emsat_ver4) - http://advnt01.com/dialer/emsat_ver4.CAB

O16 - DPF: {30CE93AE-4987-483C-9ABE-F2BD5301AB70} - http://64.158.165.49/output/100039/es/gegames/dslgeaccess.exe

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/esi/games3.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4C22790-0DEC-42F5-B112-A4AAC39C056E}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe

O23 - Service: CWShredder Service - Unknown owner - C:\Documents and Settings\Administrador.PCJAVIER\Configuración local\Archivos temporales de Internet\Content.IE5\9SLRO1A6\CWShredder[1].exe (file missing)

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

Gracias por todo.

Mensaje por **flacoroo** » 04 Mar 2005, 20:40

sigue los siguientes pasos: ve al menu VER, BARRAS DE HERRAMIENTAS ahi debe estar la que mencionas, apunta el nombre y te bajas esta herramienta BUSCAREG te doy el link

BUSCAREG.EXE: BUSCA UNA CADENA EN EL REGISTRO Y PINCHANDO ENCIMA DE LAS ENCONTRADAS PERMITE BORRARLAS MUY FACILMENTE. ADEMAS CREA FICHERO EXPORTACION DEL REGISTRO POR SI SE NECESITA VOLVER ATRAS:

http://www.zonavirus.com/descargas/buscareg.asp

y en modo seguro escribes el nombre en el buscareg y te hara la busquedad y todo lo relacionado con ese nombre borralo...ok...nos dices como te fue.....

JAVI ALCALA · Mensaje por **JAVI ALCALA** » 06 Mar 2005, 12:48

He entrado en la barra de herramientas de internet explorer y lo único que aparece son:

Ver-Barra de herramientas: Botones estandar. Barra de direcciones. Vinculos. (estas tres marcadas), McAfee Viruscan (desmarcada). Bloquear barra de herramientas (marcada) y Personalizar.

No aparece ningun otro nombre. ¿Qué puedo hacer?

Mensaje por **msc hotline sat** » 06 Mar 2005, 12:58

Antes de nada:

https://foros.zonavirus.com/viewtopic.php?t=5148

caito · Mensaje por **caito** » 06 Mar 2005, 14:20

Luego de leer el tutorial y aplicar las medidas recomendadas, si el problema persiste :

Baja este programa:

disk cleaner

http://www.xs4all.nl/~mp2004/

desactiva Restaurar sistema

Arranca en Modo seguro

Cierra todas las aplicaciones

Lanza el Hijack

Scan y luego Fix a estas:

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.awmdabest.com (HKLM)

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted IP range: 206.161.125.149

O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://C:one.MHT!http://www.t058.com//inst//x.chm::/open.exe

O16 - DPF: {2517F764-6F60-4ADD-8FCF-137E5B220FF6} (VacPro.emsat_ver4) - http://advnt01.com/dialer/emsat_ver4.CAB

O16 - DPF: {30CE93AE-4987-483C-9ABE-F2BD5301AB70} - http://64.158.165.49/output/100039/es/gegames/dslgeaccess.exe

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O23 - Service: CWShredder Service - Unknown owner - C:\Documents and Settings\Administrador.PCJAVIER\Configuración local\Archivos temporales de Internet\Content.IE5\9SLRO1A6\CWShredder[1].exe (file missing)

Con el Disk Cleaner borra Archivos Temp. de Internet,Temp. de Sistema,cookies,historial

Vacía la Papelera

Ejecuta el AdAware Se actualizado al 16/02/05

Reinicia normal y cuenta si se solucionó

Salu2

Caito

JAVI ALCALA · Mensaje por **JAVI ALCALA** » 10 Mar 2005, 23:56

Sigo igual. Hice todo lo que habeis indicado. Este es el nuevo hijack que he pegado

parece que hay algunas lineas que desaparecieron (16), pero la numero 15 sigue igual, aunque le de al fix

Logfile of HijackThis v1.99.1

Scan saved at 23:20:43, on 10/03/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\CTSvcCDA.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\devldr32.exe

C:\Archivos de programa\Creative\SBLive2k\Launcher\CTLauncher.exe

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\ARCHIV~1\SYMANT~1\VPTray.exe

C:\WINNT\Dit.exe

C:\WINNT\system32\ctfmon.exe

C:\WINNT\DitExp.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\unzipped\hijackthis[1]\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Speed racer] C:\Archivos de programa\Creative\SBLive2k\PlayCenter\CTSRReg.exe

O4 - HKLM\..\Run: [Creative Launcher] C:\Archivos de programa\Creative\SBLive2k\Launcher\CTLauncher.exe

O4 - HKLM\..\Run: [LiteBalmProxyBat] C:\Documents and Settings\All Users.WINNT\Datos de programa\4 size lite balm\ProcWeb.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKCU\..\Run: [Link audio] C:\DOCUME~1\ADMINI~1.PCJ\DATOSD~1\LOUDTR~1\RuleThisWeb.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/esi/games3.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4C22790-0DEC-42F5-B112-A4AAC39C056E}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

caito · Mensaje por **caito** » 11 Mar 2005, 01:23

Para las entradas 015 si no las eliminas con el Hijack puedes probar este programa :

DelDomains.zip

Lo ejecutas y te va a aparecer un archivo:

DelDomains.inf.

le das click derecho y seleccionas Install y ya está

Ten encuenta que si tienes predeterminados lugares peligrosos para no conectarte los tendrás que volver a determinar( por ej. los lugares que te pone como prohibidos el Spiraware Blaster.

Luego repite los pasos anteriores para eliminarlas con el hijack

(las 015)

Esta no sé qué es :

O4 - HKCU\..\Run: [Link audio] C:\DOCUME~1\ADMINI~1.PCJ\DATOSD~1\LOUDTR~1\RuleThisWeb.exe

esta tampoco:

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab

Salu2

Caito

JAVI ALCALA · Mensaje por **JAVI ALCALA** » 11 Mar 2005, 17:13

He instalado ese programa. Hice un nuevo hijacks y ya no sale ninguna entrada 15, pero la barra azul sigue apareciendo:

Logfile of HijackThis v1.99.1

Scan saved at 17:01:48, on 11/03/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\CTSvcCDA.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\devldr32.exe

C:\Archivos de programa\Creative\SBLive2k\Launcher\CTLauncher.exe

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\ARCHIV~1\SYMANT~1\VPTray.exe

C:\WINNT\Dit.exe

C:\WINNT\system32\ctfmon.exe

C:\WINNT\DitExp.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\unzipped\hijackthis[1]\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Speed racer] C:\Archivos de programa\Creative\SBLive2k\PlayCenter\CTSRReg.exe

O4 - HKLM\..\Run: [Creative Launcher] C:\Archivos de programa\Creative\SBLive2k\Launcher\CTLauncher.exe

O4 - HKLM\..\Run: [LiteBalmProxyBat] C:\Documents and Settings\All Users.WINNT\Datos de programa\4 size lite balm\ProcWeb.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKCU\..\Run: [Link audio] C:\DOCUME~1\ADMINI~1.PCJ\DATOSD~1\LOUDTR~1\RuleThisWeb.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/esi/games3.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4C22790-0DEC-42F5-B112-A4AAC39C056E}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

¿Puedes ayudarme? Las ventanas emergentes de publicidad siguen apareciendo ¿Existe algo para instalar y controlar que no salgan?. Gracias.

Mensaje por **maura63** » 11 Mar 2005, 17:18

Elimina estas dos entradas

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/esi/games3.cab

O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab

Comprueba archivos ocultos y carpetas que se muestren.

Saludos

maura63

JAVI ALCALA · Mensaje por **JAVI ALCALA** » 11 Mar 2005, 21:36

No entiendo mucho de informatica y no sé buscar archivos ocultos y carpetas, como me indicas. He borrado las dos entradas (16) y sigue apareciendo la barra azul. Intentaré pegar la imagen para que veais la barra y las ventanas que me salen. Siento no saber hacerlo de otra forma, disculpad por la imagen (no sé si está permitido pegarlas y no sé ponerla mas reducida) o por si no lo hago bien.

[url=http://www.imageshack.us]

[img]http://img15.exs.cx/img15/5867/barra7jn.jpg[/img][/url][/img][url]

Gracias por vuestra ayuda.

caito · Mensaje por **caito** » 11 Mar 2005, 23:07

Te repito la pregunta sabes a qué se refiere esta entrada:

O4 - HKCU\..\Run: [Link audio] C:\DOCUME~1\ADMINI~1.PCJ\DATOSD~1\LOUDTR~1\RuleThisWeb.exe

Salu2

Caito

JAVI ALCALA · Mensaje por **JAVI ALCALA** » 12 Mar 2005, 09:14

No entendí tu pregunta antes caito. No sé si lo he hecho bien, pero he buscado la entrada por "Buscar.." en archivos y carpetas y me da una especie de página de busqueda fallida, es decir, como si intentas buscar información sobre algo en internet y no encuentra resultados. Pone textualmente:

The page cannot be displayed

Click here to retry

Search the web (luego un espacio rectangular para poner los datos a buscar y a continuacion un boton de "search")

Más abajo ya vienen una serie de lo que entiendo son "paginas de enlace" a otras direcciones. He puesto el cursor encima de cada una y todas tienen en común que se dirigen a la dirección "http://searchweb2/search/serarch..... y sus diferentes variantes. Estas páginas vienen con letras resaltadas en azul sobre el fondo de la pantalla en blanco y los textos que se detallan son: "INTERNET", "BUSINNES & ECONOMY", "ONLINE CASINO", "ENTERTAINEMENT", "TRAVEL", etc, etc.

¿Puede que sea esto lo que se ejecuta y haga aparecer la barra azul?

Gracias, un saludo.

Mensaje por **msc hotline sat** » 12 Mar 2005, 11:20

Es una barra tipica de una aplicacion que tienes instalada y que te facilita el acceso a diversos sites, lo cual pueden hacer algunos spywares, pero tambien aplicaciones que puedes tener instaladas a tal efecto.

En tu post inicial indicas haber seguido los tutoriales, y haber lanzado los antispywares que aconsejamos, pero te recuerdo que ello se debe hacer arrancando en modo seguro. ¿Lo hiciste así? Si no, repite la operacion, pero en modo seguro:

https://foros.zonavirus.com/viewtopic.php?t=5266

y tras reiniciar, si no has solucionado el problema, ve a INICIO->CONMFIGURACIOB->PANEL DE CONTROL->AGREGAR/QUITAR PROGRAMAS, y ira allí si eres consciente de que todo lo que tienes instalado lo hayas hecho tu y lo quieras, y si no, desinstalalo, pues podría ser una aplicacion que te facilitara dicha barra

Comentanos tus progresos, gracias

saludos

ms, 12-03-2005

JAVI ALCALA · Mensaje por **JAVI ALCALA** » 13 Mar 2005, 10:22

He arrancado en modo "a prueba de errores" (es lo que pone la pantalla en su parte superior e inferior). He lanzado Ad-Aware se (elimino 2 cookies), Spybot(limpio), dos antivirus online (uno nada y el panda 38 y limpió 1), Spywareblaster 3.3 (limpio), CWShredder (limpio). Todo esto lo hice con anterioridad, pero lo he vuelto a repetir como me indicabas. Cuando inicio el IE en este modo "a prueba", no me sale la barra azul en la parte inferior. He instalado (como he podido porque no sé inglés, y agradeceria mucho si hubiera algún sitio donde consultar los parámetros básicos a instalar aunque sea con fotos) ZoneAlarm y me detecta e impide que aparezca la barra azul, pero creo que este programa no borra estas cosas. He entrado en añadir/quitar programas y no veo donde esta la aplicación de esa barra para eliminarla (como dije al principio, no sé casi nada de informatica). Ya hace unos meses tuve el mismo problema, aunque en aquellos entonces no conocia este foro. La solución que me dieron fue formatear y listo porque decian que esta barra se instalaba en un "registro de windows" y se replicaba constantemente con otro nombre, con lo cual no se podia localizar. Lamentablemente, no sé en qué página lo volví a introducir en mi pc.

El informe de panda:

Adware:Adware/Lop No desinfectado C:\Documents and Settings\Administrador.PCJAVIER\Datos de programa\Software aim city\logdent.exe

Virus:Trj/WmvDownloader.A Desinfectado C:\Documents and Settings\Administrador.PCJAVIER\Mis documentos\My Shared Folder\28 Hey Ya!.wma

Adware:Adware/Lop No desinfectado C:\Documents and Settings\All Users.WINNT\Datos de programa\4 size lite balm\Frag Keep.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\All Users.WINNT\Datos de programa\4 size lite balm\ProcWeb.exe

Adware:Adware/SAHAgent No desinfectado C:\temp\SAHPackage.exe

Spyware:Spyware/Relevancy No desinfectado C:\temp\SearchRelevancy.exe

Adware:Adware/WUpd No desinfectado C:\temp\WinCtlAdInstPack.exe

Adware:Adware/SearchAid No desinfectado C:\WINNT\addtt32.exe

Spyware:Spyware/New.net No desinfectado C:\WINNT\NDNuninstall6_38.exe

Spyware:Spyware/BargainBuddy No desinfectado C:\WINNT\system32\mac80ex.idf[Uninstall.exe]

Spyware:Spyware/BargainBuddy No desinfectado C:\WINNT\system32\mac80ex.idf[bargains.exe]

Spyware:Spyware/BargainBuddy No desinfectado C:\WINNT\system32\mac80ex.idf[adv.exe]

Spyware:Spyware/BargainBuddy No desinfectado C:\WINNT\system32\mac80ex.idf[adx.exe]

Adware:Adware/SAHAgent No desinfectado C:\WINNT\system32\xmlparse.dll

Adware:Adware/SAHAgent No desinfectado C:\WINNT\system32\xmltok.dll

Adware:Adware/IPInsight No desinfectado C:\WINNT\Temp\conscorr.inf

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\pch4045.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\pch60B0.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\pchA242.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\pchE215.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\Rem30A3.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\sta2062.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\sta241.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\sta7291.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\sta9385.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\staC142.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\staC194.exe

Spyware:Spyware/LocalNRD No desinfectado C:\WINNT\Temp\THI3B56.TMP\localNrd.inf

La barra azul sigue apareciendo aun. Al parecer, el panda no la borro definitivamente o se habra duplicado.

Gracias por vuestra ayuda.

Mensaje por **msc hotline sat** » 13 Mar 2005, 11:17

Como puedes ver en tu informe, tu antivirus te detecta pero no te elimina tropecientos bichos y si el antispyware no te detecta ninguno, posiblemente te falte actualizarlo.

Así que ante todo lanza la actualizacion, y luego arrancas en modo seguro y detectas y eliminas todos los bichos, a ver si desaparece la dichosa barra.

Lo de mirar las aplicaciones en Agregar/quitar programas, era para ver si reconocoas haber instalado todas las que hay, o ves alguna que no lo has hecho tu, y si estas seguro, desinstalarla, pero mejor dejar hacer a las utilidades, que ya saben distnguir lo que es bicho, de lo que no lo es.

Tras el proceso indicado, reinicia y dinos si se ha ido la barra. Por cierto, mira si al lado tiene algun nombre, pues si lo hubiere, se pordría buscar en el registro de sistema y eliminarla muy facilmente con el BUSCAREG.EXE por ejemplo

Contestanos como respuesta de este Tema, gracias

saludos

ms, 13-03-2005

JAVI ALCALA · Mensaje por **JAVI ALCALA** » 14 Mar 2005, 22:09

Tengo actualizados todos los antivirus, pero volví a solicitar actualizaciones. He lanzado tres antivirus (recomendados en una de las paginas del foro) y aunque detectan algunas cosas no las borran. Luego he pasado Spybot, etc, etc. y la barra sigue igual.

Informe de symantec:

Adware.Gator, Adware.180Search, Adware.Ncase, Adware.BetterInternet, Adware.BargainBuddy, Adware.Itsbar, Adware.NetOptimize, Download.Adware, Adware.WebRebates

Informe Panda:

Incidencia Estado Elemento

Adware:Adware/Lop No desinfectado C:\DOCUME~1\ALLUSE~1.WIN\DATOSD~1\4SIZEL~1\ProcWeb.exe

Spyware:Spyware/New.net No desinfectado C:\WINNT\NDNuninstall*.exe

Adware:Adware/Lop No desinfectado C:\Archivos de programa\C2Media

Adware:Adware/CWS.008k No desinfectado C:\WINNT\system32\epl2.exe

Adware:Adware/Lop No desinfectado C:\Archivos de programa\C2Media\Setup.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\Administrador.PCJAVIER\Datos de programa\loud trust kind\Idol Test 4.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\Administrador.PCJAVIER\Datos de programa\loud trust kind\pjssalbm.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\Administrador.PCJAVIER\Datos de programa\loud trust kind\sbcloknd.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\Administrador.PCJAVIER\Datos de programa\loud trust kind\setup skip view ball.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\Administrador.PCJAVIER\Datos de programa\Software aim city\logdent.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\All Users.WINNT\Datos de programa\4 size lite balm\Frag Keep.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\All Users.WINNT\Datos de programa\4 size lite balm\ProcWeb.exe

Adware:Adware/SAHAgent No desinfectado C:\temp\SAHPackage.exe

Spyware:Spyware/Relevancy No desinfectado C:\temp\SearchRelevancy.exe

Adware:Adware/WUpd No desinfectado C:\temp\WinCtlAdInstPack.exe

Adware:Adware/SearchAid No desinfectado C:\WINNT\addtt32.exe

Spyware:Spyware/New.net No desinfectado C:\WINNT\NDNuninstall6_38.exe

Spyware:Spyware/BargainBuddy No desinfectado C:\WINNT\system32\mac80ex.idf[Uninstall.exe]

Spyware:Spyware/BargainBuddy No desinfectado C:\WINNT\system32\mac80ex.idf[bargains.exe]

Spyware:Spyware/BargainBuddy No desinfectado C:\WINNT\system32\mac80ex.idf[adv.exe]

Spyware:Spyware/BargainBuddy No desinfectado C:\WINNT\system32\mac80ex.idf[adx.exe]

Adware:Adware/SAHAgent No desinfectado C:\WINNT\system32\xmlparse.dll

Adware:Adware/SAHAgent No desinfectado C:\WINNT\system32\xmltok.dll

Adware:Adware/IPInsight No desinfectado C:\WINNT\Temp\conscorr.inf

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\pch4045.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\pch60B0.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\pchA242.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\pchE215.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\Rem30A3.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\sta2062.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\sta241.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\sta7291.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\sta9385.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\staC142.exe

Adware:Adware/Lop No desinfectado C:\WINNT\Temp\staC194.exe

Spyware:Spyware/LocalNRD No desinfectado C:\WINNT\Temp\THI3B56.TMP\localNrd.inf

Luego me ha dado una serie de errores al iniciar la sesion, al empezar IE otro más

He lanzado hijack y este es el resultado:

Logfile of HijackThis v1.99.1

Scan saved at 21:56:25, on 14/03/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\SYSTEM32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\CTSvcCDA.exe

C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\system32\devldr32.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Creative\SBLive2k\Launcher\CTLauncher.exe

C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

c:\archivos de programa\mcafee.com\agent\mcagent.exe

C:\ARCHIV~1\SYMANT~1\VPTray.exe

C:\WINNT\Dit.exe

C:\WINNT\DitExp.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINNT\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\unzipped\hijackthis[1]\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Speed racer] C:\Archivos de programa\Creative\SBLive2k\PlayCenter\CTSRReg.exe

O4 - HKLM\..\Run: [Creative Launcher] C:\Archivos de programa\Creative\SBLive2k\Launcher\CTLauncher.exe

O4 - HKLM\..\Run: [LiteBalmProxyBat] C:\Documents and Settings\All Users.WINNT\Datos de programa\4 size lite balm\ProcWeb.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [Link audio] C:\DOCUME~1\ADMINI~1.PCJ\DATOSD~1\LOUDTR~1\RuleThisWeb.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Archivos de programa\Nikon\PictureProject\NkbMonitor.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4C22790-0DEC-42F5-B112-A4AAC39C056E}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

He puesto el cursor en la barra azul y con el boton derecho le he dado a "propiedades" y la única informacion que da es:

Search Now!

Tipo: no disponible

Conexion: no cifrado

Direccion URL: http://searchweb2.com/passtrhoug/newpass2.html

Tamaño: 7376 bytes

¿Existe algun programa más que pueda pasar para probar a ver si lo borra?

Gracias por vuestra ayuda

caito · Mensaje por **caito** » 15 Mar 2005, 00:08

Estas son las más sospechosas :

O4 - HKLM\..\Run: [LiteBalmProxyBat] C:\Documents and Settings\All Users.WINNT\Datos de programa\4 size lite balm\ProcWeb.exe

O4 - HKCU\..\Run: [Link audio] C:\DOCUME~1\ADMINI~1.PCJ\DATOSD~1\LOUDTR~1\RuleThisWeb.exe

Si no sabes a qué corresponden las señalas con el Hijack y luego le das a Fix chequed, ten en cuenta que debes tener todas las aplicaciones (exepto el hijack) cerradas y eso incluye a Internet.

Además debes hacerlo en Modo Seguro y con Restaurar sistema deshabilitado.

Tambien debes borrar todos los Archivos Temp. tanto de internet como de Sistema con el Disk Cleaner, tambien debes vaciar la papelera.

Si hay varias identidades debes repetir estos pasos para todas y además borrar todo rastro de :(si no sabes a qué se refire)

C:\Documents and Settings\All Users.WINNT\Datos de programa\4 size lite balm\ProcWeb.exe

C:\DOCUME~1\ADMINI~1.PCJ\DATOSD~1\LOUDTR~1\RuleThisWeb.exe

Si tu XP es legal puedes probar el Microsoft Antispiware :

http://www.microsoft.com/en/us/default.aspxathome/security/spyware/software/default.mspx

Salu2

Caito

Mensaje por **maura63** » 15 Mar 2005, 08:56

Pasas Spybot y Ad_aware SE [color=red]actualizados[/color] :?: :?:

Lo que te detecta deberia limpiarlo sin mayor problema arrancando en modo seguro y desactivando la restauracion del sistema.

Pasa tambien el cws del mismo modo.

Saludos

maura63

JAVI ALCALA · Mensaje por **JAVI ALCALA** » 17 Mar 2005, 21:38

Gracias a todos, parece ser que de momento no aparece ya la dichosa barra azul. Por falta de tiempo no he podido llevar a cabo lo que me indicabais en vuestros ultimos mensajes, pero ante la duda de si desde un principio no hice bien las descargas opte por desinstalar todo, aunque lo tenia actualizado a marzo de 2005 (ad-aware, spybot, disk cleaner, etc), volverlo a instalar desde vuestra pagina de enlaces y luego actualizar todo nuevamente. Tambien lance hijack e hice fix a las entradas indicadas por caito. Todo, tanto la instalación de programas como los escaneados, lo hice en modo a prueba de fallos.

Nuevamente, muchas gracias. Si volviera a aparecer (espero que no) os informaria.

Mensaje por **maura63** » 18 Mar 2005, 08:59

Pues una vez limpio de parasitos instala

Nueva version de Spywareblaster 3.3

http://www.javacoolsoftware.com/sbupdate.html

Una vez instalado, actualiza y pulsa sobre enable protection.

No olvides tener el sistema operativo al dia conectando con windows update.

Y damos por solucionado el tema y cerramos.

Saludos

maura63

Mensaje por **msc hotline sat** » 18 Mar 2005, 10:51

ok, tema cerrado.