Problemas con varios virus/spyware (Solucionado)

pepe_peixe · Mensaje por **pepe_peixe** » 03 May 2005, 12:11

Muy buenas a tod@s. Es la primera vez que postéo en el foro y espero hacerlo correctamente.

Mi problema es que me han puesto a trabajar en la oficina con un ordenador que de vez en cuando se reinicia solo, se cuelga, o hace cualquier "cosa rara". Es un equipo antiguo, un PII-400 con W98 (actualizado con las Updates), y que pide a gritos un formatéo, pero eso ya no es cosa mia. Tiene un antivirus que se llama F-Prot y se actualiza a diario.

Este antivirus ha detectado lo siguiente:

W32/Agent JV@dl en C:\WINDOWS\Downloaded Program Files\sahuninstall_.exe, y en sahuni~1.exe de la misma ubicación.

Pero no los desinfecta...

Además, he probado a pasar dos antivirus on-line, el de Mc.Afee y el de Panda, y el de Panda Antivirus me ha encontrado esto:

Adware:Adware/SAHAgent

No desinfectado

C:\WINDOWS\SYSTEM\xmlparse.dll

Adware:Adware/SAHAgent

No desinfectado C:\WINDOWS\SYSTEM\xmltok.dll

Virus:Eicar.Mod

No desinfectado

C:\Archivos de programa\FSI\F-Prot\fpav-help.chm[prob-scan-ok.html]

Virus:Eicar.Mod

No desinfectado

C:\Archivos de programa\InstallShield Installation Information\{9FD12630-1991-46F5-8479-92DE1EAE87DA}\data1.cab[fpav-help.chm][prob-scan-ok.html]

Y tampoco los desinfecta...

El de Mc.Afee no detecta nada.

Viendo además que muchos usuarios postéan un log del programa Hijack This, yo también lo he hecho por si os valiera de algo:

Logfile of HijackThis v1.99.1

Scan saved at 11:47:09, on 03/05/05

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\FSI\F-PROT\F-SCHED.EXE

C:\ARCHIVOS DE PROGRAMA\FSI\F-PROT\F-STOPW.EXE

C:\ARCHIVOS DE PROGRAMA\FSI\F-PROT\FPAVUPDM.EXE

C:\WINDOWS\STARTER.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\ESCRITORIO\HERRAMIENTAS PARA EL PC\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coag.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.coag.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coag.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Archivos de programa\FSI\F-Prot\F-Sched.exe

O4 - HKLM\..\Run: [F-STOPW.EXE] "C:\Archivos de programa\FSI\F-Prot\F-STOPW.EXE"

O4 - HKLM\..\Run: [FRISK_MONITOR] "C:\Archivos de programa\FSI\F-Prot\fpavupdm.exe" /RAP

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Similar Pages - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Backward Links - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O8 - Extra context menu item: Translate into English - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\stp-kazemule2\local.htm (file missing)

O12 - Plugin for .ram: C:\ARCHIVOS DE PROGRAMA\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\nppl3260.dll

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs1.chat.yahoo.com/yacs-1.0.0.37/yacscom.cab

O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?1&04.00.03.15&http://volvoxc90.volvocars.es/explore/3d.asp

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup145.cab

O16 - DPF: {1F9CDCD6-77F0-4845-8EDC-84B23E903948} (lcLogicNet.lcNet) - https://soporte.logiccontrol.es/web/lcLogicNet.CAB

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4478/mcfscan.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 212.51.33.73,212.51.33.106

Bueno, y esto es todo. Si me podeis dar una orientación os lo agradezco.

Muchas gracias y enhorabuena por el foro, que por lo que he estado buceando por el está genial.

Mensaje por **maura63** » 03 May 2005, 12:14

Instala estos dos programas

Eliminacion de adwares y spywares

Spybot S&D

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://kujoe.com/freeware/spybot.php

------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp

Parche dso/exploit

http://www.majorgeeks.com/downloadget.php?id=4392&file=11&evp=17a4645dc80f11461d8549719a9350e0

La descarga del parche es automatica.

AD_AWARE SE PERSONAL:

http://www.zonavirus.com/descargas/ad-aware-free-internet-security.asp

Descarga, instala, actualiza y los pasas en modo a prueba de fallos.

Pasa tambien esta utilidad

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Saludos

maura63

pepe_peixe · Mensaje por **pepe_peixe** » 03 May 2005, 16:57

Gracias maura63 por tu atención.

El ad-aware y el spybot ya los tenía instalados, pero aun asi los ejecuté en modo a prueba de fallos como me habías dicho, ya que siempre los había ejecutado desde el arranque normal de Windows. El spybot me encontró un par de entradas que eliminé con la opción "Solucionar problemas seleccionados", y el ad-aware me encontró 10 objetos y 6 insignificantes que eliminé quedando en cuarentena. Luego pasé el EliStarA.exe que bajé del enlace que me indicaste pero no detectó nada.

Despues de todo esto, el virus W32/Agent JV@dl en C:\WINDOWS\Downloaded Program Files\sahuninstall_.exe, y en sahuni~1.exe de la misma ubicación, que detectaba el antivirus que hay instalado en el equipo (F-Prot) ya no aparece, pero el Active Scan de Panda sigue detectando las 4 entradas que te comentaba en el post anterior:

Adware:Adware/SAHAgent

C:\WINDOWS\SYSTEM\xmlparse.dll

Adware:Adware/SAHAgent

C:\WINDOWS\SYSTEM\xmltok.dll

Virus:Eicar.Mod

C:\Archivos de programa\FSI\F-Prot\fpav-help.chm[prob-scan-ok.html]

Virus:Eicar.Mod

C:\Archivos de programa\InstallShield Installation Information\{9FD12630-1991-46F5-8479-92DE1EAE87DA}\data1.cab[fpav-help.chm][prob-scan-ok.html]

Por lo que me pude enterar, el Eicar puede que tan soo se trate de un archivo que funciona de test para comprobar la eficacia del antivirus (perdona si estoy diciendo una barbaridad, pero la web estaba en ingles y...) y la extensión .mod podría indicar que ha sido modificado para contener un virus. ¿Puede ser que entonces este archivo no sea peligroso?.

De las .dll infectadas no pude sacar nada que yo entendiera. Hay una web (http://www.dll-files.com/dllindex/dll-files.shtml?xmltok) de las que, ojo, parece ser, que me las puedo bajar. No se que programa usa estas .dll pero, ¿si las sustituyo por unas "limpias" habré solucionado el problema?

Te agradezco tu atención y espero tu respuesta.

Un saludo.

Mensaje por **maura63** » 03 May 2005, 17:05

La primera DLL que comentas parece ser del mesenger de yahoo.

Sobre al Adware consulta este link

http://sarc.com/avcenter/venc/data/adware.sahagent.html

El eicar es para probar tu antivirus. Arrancando en modo seguro u desactivando la restauracion podras eliminarlos.

Saludos

maura63

pepe_peixe · Mensaje por **pepe_peixe** » 03 May 2005, 17:28

Bueno, si el eicar no es más que eso no me preocupa. Sobre las .dll, pues la verdad he consultado la web que me dijiste y que me aconseja eliminar la entrada del registro

Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

In the right pane, delete the value:

"SAHBundle"="%Temp%\bundle.exe"

Navigate to and delete the key:

HKEY_LOCAL_MACHINE\Software\VGroup

Pero... no tengo el valor "SAHBundle"="%Temp%\bundle.exe", ni la entrada HKEY_LOCAL_MACHINE\Software\VGroup. Tampoco hay nada que contenga "SAH" en el registro. He buscado, por casualidad, si tenía algún "bundle.exe" por ahi... y tampoco... Y ya me he quedado en blanco otra vez.

¿Pruebo a bajar las .dll teoricamente "limpias" de http://www.dll-files.com y las sustituyo, o me comentas algo más que pueda hacer?

Un saludo y mil gracias por tu atención.

Mensaje por **maura63** » 03 May 2005, 17:29

Prueba a bajarlas y las sustituyes.

Bajar :

http://www.merijn.org/files/hijackthis.zip

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

Saludos

maura63

pepe_peixe · Mensaje por **pepe_peixe** » 03 May 2005, 17:40

Antes de sustituir las .dll te mando el log del HijackThis, por si te vale de algo. Si la cosa era al reves, que primero sustituyera las dll y luego pasara el HijackThis dímelo que lo hago al momento.

Logfile of HijackThis v1.99.1

Scan saved at 17:36:57, on 03/05/05

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\FSI\F-PROT\F-SCHED.EXE

C:\ARCHIVOS DE PROGRAMA\FSI\F-PROT\F-STOPW.EXE

C:\ARCHIVOS DE PROGRAMA\FSI\F-PROT\FPAVUPDM.EXE

C:\WINDOWS\STARTER.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coag.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.coag.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coag.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Archivos de programa\FSI\F-Prot\F-Sched.exe

O4 - HKLM\..\Run: [F-STOPW.EXE] "C:\Archivos de programa\FSI\F-Prot\F-STOPW.EXE"

O4 - HKLM\..\Run: [FRISK_MONITOR] "C:\Archivos de programa\FSI\F-Prot\fpavupdm.exe" /RAP

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Similar Pages - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Backward Links - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O8 - Extra context menu item: Translate into English - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\stp-kazemule2\local.htm (file missing)

O12 - Plugin for .ram: C:\ARCHIVOS DE PROGRAMA\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\nppl3260.dll

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs1.chat.yahoo.com/yacs-1.0.0.37/yacscom.cab

O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?1&04.00.03.15&http://volvoxc90.volvocars.es/explore/3d.asp

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup145.cab

O16 - DPF: {1F9CDCD6-77F0-4845-8EDC-84B23E903948} (lcLogicNet.lcNet) - https://soporte.logiccontrol.es/web/lcLogicNet.CAB

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4478/mcfscan.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 212.51.33.73,212.51.33.106

Un saludo.

Mensaje por **maura63** » 03 May 2005, 17:45

Conoces esta entrada

O4 - HKLM\..\Run: [FRISK_MONITOR] "C:\Archivos de programa\FSI\F-Prot\fpavupdm.exe" /RAP - Unknown

Elimina estas

O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\stp-kazemule2\local.htm (file missing) -

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?104.00.03.15http://volvoxc90.volvocars.es/explore/3d.asp -

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

Saludos

maura63

pepe_peixe · Mensaje por **pepe_peixe** » 03 May 2005, 18:21

Bueno, tras borrar las entradas que me decías, el Panda sigue obcecado con las 2 dll. Lo que he hecho es sustituirlas por las que bajé de la web. Son de una fecha anterior a las infectadas, pero como el messenger yahoo no estuvo instalado (que yo sepa) pues tampoco creo que afecten a programas "importantes", digamos.

Estas nuevas .dll no tienen virus según el ActiveScan de Panda.

Te mando un nuevo log del HijackThis por si hubiera algo raro tras esta operación:

Logfile of HijackThis v1.99.1

Scan saved at 18:16:00, on 03/05/05

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARCHIVOS DE PROGRAMA\FSI\F-PROT\F-SCHED.EXE

C:\ARCHIVOS DE PROGRAMA\FSI\F-PROT\F-STOPW.EXE

C:\ARCHIVOS DE PROGRAMA\FSI\F-PROT\FPAVUPDM.EXE

C:\WINDOWS\STARTER.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coag.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.coag.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coag.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Archivos de programa\FSI\F-Prot\F-Sched.exe

O4 - HKLM\..\Run: [F-STOPW.EXE] "C:\Archivos de programa\FSI\F-Prot\F-STOPW.EXE"

O4 - HKLM\..\Run: [FRISK_MONITOR] "C:\Archivos de programa\FSI\F-Prot\fpavupdm.exe" /RAP

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O8 - Extra context menu item: &Google Search - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html

O8 - Extra context menu item: Similar Pages - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html

O8 - Extra context menu item: Backward Links - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html

O8 - Extra context menu item: Translate into English - res://C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBAR1.DLL/cmtrans.html

O12 - Plugin for .ram: C:\ARCHIVOS DE PROGRAMA\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\nppl3260.dll

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs1.chat.yahoo.com/yacs-1.0.0.37/yacscom.cab

O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab

O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup145.cab

O16 - DPF: {1F9CDCD6-77F0-4845-8EDC-84B23E903948} (lcLogicNet.lcNet) - https://soporte.logiccontrol.es/web/lcLogicNet.CAB

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4478/mcfscan.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 212.51.33.73,212.51.33.106

Si todo está correcto ahora, no me queda más que agradecerte tu ayuda y daros a toda la gente del foro mi enhorabuena por su funcionamiento.

Un saludo y muchas gracias.

Mensaje por **maura63** » 03 May 2005, 18:30

Lo veo limpio.

Saludos

maura63

pepe_peixe · Mensaje por **pepe_peixe** » 03 May 2005, 18:33

OK, pues esto es todo. Muchas gracias por tu tiempo y por todas las soluciones, que han sido correctísimas.

Un abrazo.

Pepe (A Coruña)

Mensaje por **maura63** » 03 May 2005, 18:35

Pues damos por solucionado el tema y cerramos.

Saludos

maura63

Problemas con varios virus/spyware (Solucionado)

Problemas con varios virus/spyware (Solucionado)

Realizadas las tareas que propusiste, aun quedan virus...