W32/gaobot.CC me tiene bloqueado el ordenador (solucionado)

[Pedro Rafael]

Utilizo Windows XP y estoy infectado por el scvhost.exe, no puedo acceder a páginas antivirus (se apaga el navegador), tampoco puedo utilizar ningun antivirus en CD pues no se instalan. No puedo utilizar el regedit (se cierra la pantalla) ni tampoco la consola de recuperación ni la instalación con la ultima configuración valida, tampoco la opcion de recuperacion de Windows XP la cual esta anulada.

Podría utilizar un antivirus desde el CD arrancando con un disco de arranque ?

Qué otra solución podría utilizar?

Saludos, Pedro

[msc hotline sat]

Arranca en modo seguro, con funciones de red, deshabilita la restauracion de sistema, y lanza un antivirus ONLINE y tras ello, conecta con windowsupdate y actualiza parches



https://www.virustotal.com/es/



Luego revida tu antivirus, y mantenlo actualizado



saludos



ms, 31-03-2005

[Pedro Rafael]

No puedo hacer Scan online, el scvhost me ha ido estropeando el registro de windows y me impide hacer un regedit, tampoco puedo utilizar antivirus desde CD, no deja que se instalen.

¿qué puedo hacer?

[maura63]

Nueva versión del Hijack This : 1.99.1

Bajar :

http://www.merijn.org/files/hijackthis.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.



Saludos

maura63

[Pedro Rafael]

No me deja entrar a ninguna WEB que tenga antivirus online, se apaga inmediatmente el navegador, te adjunto el Log del Hija a ver si me puedes ayudar. Muchas gracias. Pedro R.

Logfile of HijackThis v1.99.1

Scan saved at 21:19:53, on 01/04/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\mcsv.com

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Administrador\Configuración local\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\mcsv.com

O1 - Hosts: 212.58.240.33 http://www.symantec.com

O1 - Hosts: 212.58.240.33 http://www.sophos.com

O1 - Hosts: 212.58.240.33 http://www.mcafee.com

O1 - Hosts: 212.58.240.33 http://www.viruslist.com

O1 - Hosts: 212.58.240.33 http://www.f-secure.com

O1 - Hosts: 212.58.240.33 http://www.avp.com

O1 - Hosts: 212.58.240.33 http://www.kaspersky.com

O1 - Hosts: 212.58.240.33 http://www.networkassociates.com

O1 - Hosts: 212.58.240.33 http://www.ca.com

O1 - Hosts: 212.58.240.33 http://www.my-etrust.com

O1 - Hosts: 212.58.240.33 http://www.nai.com

O1 - Hosts: 212.58.240.33 http://www.trendmicro.com

O1 - Hosts: 212.58.240.33 http://www.grisoft.com

O1 - Hosts: 212.58.240.33 securityresponse.symantec.com

O1 - Hosts: 212.58.240.33 sophos.com

O1 - Hosts: 212.58.240.33 mcafee.com

O1 - Hosts: 212.58.240.33 liveupdate.symantecliveupdate.com

O1 - Hosts: 212.58.240.33 viruslist.com

O1 - Hosts: 212.58.240.33 f-secure.com

O1 - Hosts: 212.58.240.33 kaspersky.com

O1 - Hosts: 212.58.240.33 kaspersky-labs.com

O1 - Hosts: 212.58.240.33 avp.com

O1 - Hosts: 212.58.240.33 networkassociates.com

O1 - Hosts: 212.58.240.33 ca.com

O1 - Hosts: 212.58.240.33 mast.mcafee.com

O1 - Hosts: 212.58.240.33 my-etrust.com

O1 - Hosts: 212.58.240.33 download.mcafee.com

O1 - Hosts: 212.58.240.33 dispatch.mcafee.com

O1 - Hosts: 212.58.240.33 secure.nai.com

O1 - Hosts: 212.58.240.33 nai.com

O1 - Hosts: 212.58.240.33 update.symantec.com

O1 - Hosts: 212.58.240.33 updates.symantec.com

O1 - Hosts: 212.58.240.33 us.mcafee.com

O1 - Hosts: 212.58.240.33 liveupdate.symantec.com

O1 - Hosts: 212.58.240.33 customer.symantec.com

O1 - Hosts: 212.58.240.33 rads.mcafee.com

O1 - Hosts: 212.58.240.33 trendmicro.com

O1 - Hosts: 212.58.240.33 grisoft.com

O1 - Hosts: 212.58.240.33 sandbox.norman.no

O1 - Hosts: 212.58.240.33 http://www.pandasoftware.com

O1 - Hosts: 212.58.240.33 uk.trendmicro-europe.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\ARCHIV~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe \RESET

O4 - HKLM\..\Run: [SpIDerMail] "C:\Archivos de programa\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [FLMK08KB] C:\Archivos de programa\Muiltmedia keyboard Utility\1.3\MMKEYBD.EXE

O4 - HKLM\..\Run: [dggqeux] c:\windows\system32\dggqeux.exe

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [BDMCon] c:\ARCHIV~1\softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [SDAv] C:\WINDOWS\svhost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [SDAv] C:\WINDOWS\svhost.exe

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: ZoneAlarm.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zonealarm.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[cañera]

http://www.vsantivirus.com/gaobot-cc.htm

Mira si lo puedes solucionar con eso.

Cuentanos como te fue

[Pedro Rafael]

Incluso cambiado el nombre de regedit por reg no puedo editarlo, sale una pantalla que dura medio segundo, por eso no puedo hacer la limpieza manual. Tampoco admite conexion a los antivirus ni online ni de CD, los que tenia instalados tampoco puedo usarlos. ¿Qué hacer?

[cañera]

https://foros.zonavirus.com/viewtopic.php?t=5478&highlight=gaobot

mira si con esa utilidad lo puedes solucionar.

Cuentanos como te fue.

[Pedro Rafael]

Ya he utilizado el Elitriip.Exe y mi ordenador sigue igual, quizás sean rutinas que se siguen ejecutando a pesar de que el mencionado programa detectó y borró el scvhost.exe.

No puedo:

- Acceder a ninguna página de antivirus online.

- Utilizar ningún antivirus desde el CD o pendrive.

- Acceder a Windows Update.

Existe algún antivirus que se pueda ejecutar desde el cd sin necesidad de instalarlo en el disco duro ?



Gracias por vuestra ayuda. Pedro.

[caito]

Por favor toma nota de estas indicaciones :



Tienes que desactivar el Tea Timer del SpyBot para poder limpiar la pc!!!!



Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack

Baja este programa:

disk cleaner

http://www.xs4all.nl/~mp2004/



Desactiva Restaurar Sistema

Reinicia en Modo seguro

Termina estos procesos(ctrl+alt+del):

dggqeux.exe

svhost.exe

Cierra todas las aplicaciones (esto incluye Internet tambien ¡!!!)

Lanza el Hijack

Scan y luego Fix a estas:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\mcsv.com

O1 - Hosts: 212.58.240.33 http://www.symantec.com

O1 - Hosts: 212.58.240.33 http://www.sophos.com

O1 - Hosts: 212.58.240.33 http://www.mcafee.com

O1 - Hosts: 212.58.240.33 http://www.viruslist.com

O1 - Hosts: 212.58.240.33 http://www.f-secure.com

O1 - Hosts: 212.58.240.33 http://www.avp.com

O1 - Hosts: 212.58.240.33 http://www.kaspersky.com

O1 - Hosts: 212.58.240.33 http://www.networkassociates.com

O1 - Hosts: 212.58.240.33 http://www.ca.com

O1 - Hosts: 212.58.240.33 http://www.my-etrust.com

O1 - Hosts: 212.58.240.33 http://www.nai.com

O1 - Hosts: 212.58.240.33 http://www.trendmicro.com

O1 - Hosts: 212.58.240.33 http://www.grisoft.com

O1 - Hosts: 212.58.240.33 securityresponse.symantec.com

O1 - Hosts: 212.58.240.33 sophos.com

O1 - Hosts: 212.58.240.33 mcafee.com

O1 - Hosts: 212.58.240.33 liveupdate.symantecliveupdate.com

O1 - Hosts: 212.58.240.33 viruslist.com

O1 - Hosts: 212.58.240.33 f-secure.com

O1 - Hosts: 212.58.240.33 kaspersky.com

O1 - Hosts: 212.58.240.33 kaspersky-labs.com

O1 - Hosts: 212.58.240.33 avp.com

O1 - Hosts: 212.58.240.33 networkassociates.com

O1 - Hosts: 212.58.240.33 ca.com

O1 - Hosts: 212.58.240.33 mast.mcafee.com

O1 - Hosts: 212.58.240.33 my-etrust.com

O1 - Hosts: 212.58.240.33 download.mcafee.com

O1 - Hosts: 212.58.240.33 dispatch.mcafee.com

O1 - Hosts: 212.58.240.33 secure.nai.com

O1 - Hosts: 212.58.240.33 nai.com

O1 - Hosts: 212.58.240.33 update.symantec.com

O1 - Hosts: 212.58.240.33 updates.symantec.com

O1 - Hosts: 212.58.240.33 us.mcafee.com

O1 - Hosts: 212.58.240.33 liveupdate.symantec.com

O1 - Hosts: 212.58.240.33 customer.symantec.com

O1 - Hosts: 212.58.240.33 rads.mcafee.com

O1 - Hosts: 212.58.240.33 trendmicro.com

O1 - Hosts: 212.58.240.33 grisoft.com

O1 - Hosts: 212.58.240.33 sandbox.norman.no

O1 - Hosts: 212.58.240.33 http://www.pandasoftware.com

O1 - Hosts: 212.58.240.33 uk.trendmicro-europe.com

O4 - HKLM\..\Run: [dggqeux] c:\windows\system32\dggqeux.exe

O4 - HKLM\..\Run: [SDAv] C:\WINDOWS\svhost.exe

O4 - HKCU\..\Run: [SDAv] C:\WINDOWS\svhost.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) –

Cierra el Hijack.



Asegúrate que se vean todos los archivos:

Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.







Busca estos archivos y los eliminas:

C:\WINDOWS\System32\mcsv.com



c:\windows\system32\dggqeux.exe



C:\WINDOWS\svhost.exe



Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se actualizado al 01/04/05

Reinicia normal y pega un nuevo log

Salu2

Caito

[Pedro Rafael]

Hola de nuevo;

1º No se desactivar el Tea Time del Spy Bot ya que sigo sin poder utilizar ningún antivirus, no los puedo instalar y los que staban instalados se desactivan y se apagan al utilizarlos.



2º Sigo sin poder hacer un regedit se apaga la pantalla tras su inicio.

3º Imposible acceder a antivirus online y Windows Update se cierra la pantalla del navegador. Tampoco he podido utilizar el Cleaner que me has recomendado dado que tampoco se activa.

4º El Explorador de windows no tiene la opción de carpetas en Herramientas, no puedo acceder a ver archivos ocultos.

5º Segui todas tus indicaciones con respecto al Hijack y te remito el ultimo log .

Muchas gracias, espero tus noticias.



Pedro



Logfile of HijackThis v1.99.1

Scan saved at 11:56:29, on 3/4/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\netdde.exe

C:\WINDOWS\system32\clipsrv.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\tlntsvr.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

C:\WINDOWS\System32\carpserv.exe

C:\Archivos de programa\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

C:\ARCHIV~1\Netscape\Netscape\Netscp.exe

C:\Archivos de programa\The Cleaner\cleaner.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\wxp\Configuración local\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\ARCHIV~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe \RESET

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [FLMK08KB] C:\Archivos de programa\Muiltmedia keyboard Utility\1.3\MMKEYBD.EXE

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [BDMCon] c:\ARCHIV~1\softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [Install_Choix] E:\choix.exe

O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [THGuard] "C:\Archivos de programa\TrojanHunter 3.6\THGuard.exe"

O4 - HKLM\..\Run: [SpyHunter] C:\Archivos de programa\Enigma Software Group\SpyHunter\SpyHunter.exe

O4 - HKLM\..\Run: [Install_BlueDSL] E:\install.exe

O4 - HKLM\..\Run: [avast!] C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [KAZAA] C:\Archivos de programa\Kazaa\kazaa.exe /SYSTRAY

O4 - HKLM\..\Run: [NDAv] C:\WINDOWS\System32\csnss.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Archivos de programa\Netscape\Netscape\Netscp.exe" -turbo -aim

O4 - HKCU\..\Run: [NDAv] C:\WINDOWS\System32\csnss.exe

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Configuration & Monitor Utility.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Pedro Rafael]

Se me olvidaba preguntarte si no es conveniente borrar el archivo cnss.exe que aparece en el log varias veces.

Saludos Pedro.

[caito]

Ese es para borrar pero en tu log anterior no salía :shock:

Haz lo que puedas de estas indicaciones:

Desactiva Restaurar Sistema

Reinicia en Modo seguro

Termina estos procesos(ctrl+alt+del):

csnss.exe

Cierra todas las aplicaciones (esto incluye Internet tambien ¡!!!)

Lanza el Hijack

Scan y luego Fix a estas:

O4 - HKLM\..\Run: [NDAv] C:\WINDOWS\System32\csnss.exe

O4 - HKCU\..\Run: [NDAv] C:\WINDOWS\System32\csnss.exe

Cierra el Hijack.

Asegúrate que se vean todos los archivos:

Busca estos archivos y los eliminas:

C:\WINDOWS\System32\csnss.exe

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se actualizado al 01/04/05

Reinicia normal y pega un nuevo log

El Kazza y el P2P Networking no son seguros!!!!

Esta línea no se qué significa:

O4 - HKLM\..\Run: [zzzHPSETUP] E:\Setup.exe \RESET

puede ser de HP ?

Esta tampoco se de qué es :

O4 - HKLM\..\Run: [Install_Choix] E:\choix.exe

Salu2

Caito

Pd: lo del Tea Timer:

http://integra.terra.com.sv/integra/corporativo/11spyware.htm

[Pedro Rafael]

Estimado Caito y demás expertos:

Tras seguir vuestros consejos mio ordenador ya está liberado, una vez borrado el csnss.exe y las entradas en el registro que me habeis ido diciendo se ha areglado todo, ya pude entrar en una página web con antivirus online, ya pude instalar el spyboot y en fin mi ordenador funciona perfectament, también ya puedo hacer un regedit.

Muchas gracias por vuestra eficaz y rápida ayuda.

Saludos afectuosos desde Tenerife. Islas Canarias.

Pedro Rafael

[caito]

Me alegra que lo hayas solucionado :D :D

Salu2

Caito

[msc hotline sat]

Solucionado le problema, cerramos el Tema



saludos



ms, 4-04-2005