El tipico warning pero con mas problemas

Picaso · Mensaje por **Picaso** » 16 May 2005, 16:50

Wueno, he de decir que he intentado leyendo otros posts del problemilla este, pero es q no tengo el archivo de system32 mshelp32 o algo asi y el jjfixer, no estan ahi, y wueno a ver q puedo hacer para librarme de tan pesada carga

Log

Logfile of HijackThis v1.99.1

Scan saved at 16:44:25, on 16/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\SCardClnt.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\Svhost.exe

C:\Documents and Settings\Melbu\ballin.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\WINDOWS\System32\PopUpBlocker611.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Melbu\Escritorio\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\System32\wer8274.dll

O2 - BHO: (no name) - {DE23A040-D6AA-43ca-9B86-D9BE3DAA6FE7} - C:\WINDOWS\system32\javafix4.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\tpxgjp.exe

O4 - HKLM\..\Run: [Microsoft Update] Svhost.exe

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Documents and Settings\Melbu\ballin.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [Popup Blocker System611 Monitoring] PopUpBlocker611.exe

O4 - HKLM\..\Run: [Security iGuard] C:\Archivos de programa\Security iGuard\Security iGuard.exe

O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe

O4 - HKLM\..\RunServices: [Popup Blocker System611 Monitoring] PopUpBlocker611.exe

O4 - HKLM\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - HKCU\..\Run: [Microsoft Update] Svhost.exe

O4 - HKCU\..\Run: [Popup Blocker System611 Monitoring] PopUpBlocker611.exe

O4 - HKCU\..\Run: [strto] c:\windows\strto.exe

O4 - HKCU\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe

O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra button: Microsoft AntiSpyware helper - {5649797D-9183-423C-A6E8-9505F30298ED} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5649797D-9183-423C-A6E8-9505F30298ED} - (no file) (HKCU)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://weatherstripping.us/server.exe

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/iDgmKBUwWPQe1dbLnoYW.chm::/on-line.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/Bridge-c139.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112990573124

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **maura63** » 16 May 2005, 16:55

Entre varios este

C:\WINDOWS\System32\Svhost.exe

Nasty running process. (Svhost.exe)

[color=red]RBOT.QG worm infection [/color]

Pasa estas utilidades

UTILIDADES

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Luego conecta via windows update y actualiza, ni tan siquiera tienes el SP1 del XP e IE.

Logfile of HijackThis v1.99.1

Scan saved at 16:44:25, on 16/05/2005

Platform: [color=red]Windows XP [/color](WinNT 5.01.2600)

MSIE: [color=red]Internet Explorer v6.00 [/color](6.00.2600.0000)

Saludos

maura63

Picaso · Mensaje por **Picaso** » 16 May 2005, 22:50

he instalado cosas de lo de windows update, he pasado las dos utilidades, pero no funciona. Hay algo mas q tenga q hacer¿?

Así está ahora

Logfile of HijackThis v1.99.1

Scan saved at 22:45:52, on 16/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Documents and Settings\Melbu\ballin.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\WINDOWS\System32\PopUpBlocker611.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Melbu\Escritorio\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=382

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=382

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\System32\wer8274.dll

O2 - BHO: (no name) - {DE23A040-D6AA-43ca-9B86-D9BE3DAA6FE7} - C:\WINDOWS\system32\javafix4.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Documents and Settings\Melbu\ballin.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [Popup Blocker System611 Monitoring] PopUpBlocker611.exe

O4 - HKLM\..\Run: [Security iGuard] C:\Archivos de programa\Security iGuard\Security iGuard.exe

O4 - HKLM\..\Run: [AdwareDelete] C:\Archivos de programa\AdwareDelete\adwaredelete.exe /h

O4 - HKLM\..\RunServices: [Popup Blocker System611 Monitoring] PopUpBlocker611.exe

O4 - HKLM\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - HKCU\..\Run: [Popup Blocker System611 Monitoring] PopUpBlocker611.exe

O4 - HKCU\..\Run: [strto] c:\windows\strto.exe

O4 - HKCU\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe

O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra button: Microsoft AntiSpyware helper - {5649797D-9183-423C-A6E8-9505F30298ED} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5649797D-9183-423C-A6E8-9505F30298ED} - (no file) (HKCU)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://weatherstripping.us/server.exe

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/iDgmKBUwWPQe1dbLnoYW.chm::/on-line.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/Bridge-c139.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112990573124

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

PD: el svhost.exe ese lo tengo q borrar o algo es q no m queda claro, tb cada vez que inicio el pc me sale una pantalla de gays lesbianas y no se q mas, se llama algo asi como 100mbfree nose a ver si me podeis yuyudar, asias por las respuestas.

caito · Mensaje por **caito** » 16 May 2005, 23:36

Tienes que actualizar por lo menos el Internet Explorer!!!

Imprime o copia estas indicaciones!!!

Mira en Agregar y Quitar Programas s i está este y elimínalo :

Security iGuard

Baja este programa:

disk cleaner

http://www.xs4all.nl/~mp2004/

Y el AdAware Se :

ftp://ftp.download.com/pub/win95/utilities/aawsepersonal.exe

Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )

Desactiva Restaurar Sistema

Reinicia en Modo seguro

Haz que se vean todos los archivos.

Cierra todas las aplicaciones

Lanza el Hijack

Busca “Open the Misc Tools Section"

Selecciona "Open process manager"

Busca los siguientes procesos:

ballin.exe

PopUpBlocker611.exe

Security iGuard.exe

srvc32.exe

spoolsrv32.exe

strto.exe

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:

C:\Documents and Settings\Melbu\ballin.exe

C:\WINDOWS\System32\PopUpBlocker611.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=382

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=382

O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll

O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\System32\wer8274.dll

O2 - BHO: (no name) - {DE23A040-D6AA-43ca-9B86-D9BE3DAA6FE7} - C:\WINDOWS\system32\javafix4.dll

O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINDOWS\System32\MTC.dll

O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Documents and Settings\Melbu\ballin.exe

O4 - HKLM\..\Run: [Popup Blocker System611 Monitoring] PopUpBlocker611.exe

O4 - HKLM\..\Run: [Security iGuard] C:\Archivos de programa\Security iGuard\Security iGuard.exe

O4 - HKLM\..\RunServices: [Popup Blocker System611 Monitoring] PopUpBlocker611.exe

O4 - HKLM\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - HKCU\..\Run: [Popup Blocker System611 Monitoring] PopUpBlocker611.exe

O4 - HKCU\..\Run: [strto] c:\windows\strto.exe

O4 - HKCU\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe

O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://weatherstripping.us/server.exe

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/iDgmKBUwWPQe1dbLnoYW.chm::/on-line.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/Bridge-c139.cab

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab

Cierra el Hijack.

Busca estas carpetas y elimínalas:

C:\Archivos de programa\Security iGuard

Busca estos archivos y los eliminas:

C:\Documents and Settings\Melbu\ballin.exe

C:\WINDOWS\System32\PopUpBlocker611.exe

C:\WINDOWS\System32\MTC.dll

C:\WINDOWS\System32\wer8274.dll

C:\WINDOWS\system32\javafix4.dll

C:\WINDOWS\System32\srvc32.exe

C:\WINDOWS\System32\spoolsrv32.exe

c:\windows\strto.exe

C:\ARCHIVE.MHT!http

C:\foo.mht!http

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se actualizado al 13/05/05 y el Microsoft Antispiware (actualizado )

Reinicia normal, conecta Internet y pega un nuevo log

Salu2

Caito

Mensaje por **maura63** » 17 May 2005, 09:08

Pasa antes de nada tu antivirus arrancando en modo seguro y desactivando la restauracion.

En el mismo modo pasas Spybot, Ad-aware, cws.

Una vez limpiado de intrusos con esos programas nos vuelves a pegar un nuevo log.

Saludos

maura63

Mensaje por **msc hotline sat** » 17 May 2005, 16:23

Empezabas hablando del MSHELP32.EXE, y eso es tipico del Sober.

Pasaste antivirus actualizado antes de postear el log del HJT ?

https://foros.zonavirus.com/viewtopic.php?t=5148

Por si acaso, aparte de lo que hayas hecho, lanza el ELISOBEA.EXE, pues hay claves de dicho virus que no se ven con el HJT

ELISOBEA

http://www.zonavirus.com/datos/descargas/103/ELISOBEAEXE.asp

saludos

ms, 17-05-2005

Picaso · Mensaje por **Picaso** » 17 May 2005, 16:34

He dicho todo lo q habeis dicho, este es el resultado:

Aunque no he podido hacer eso de:

Lanza el Hijack

Busca “Open the Misc Tools Section"

Selecciona "Open process manager"

Busca los siguientes procesos:

ballin.exe

PopUpBlocker611.exe

Security iGuard.exe

srvc32.exe

spoolsrv32.exe

strto.exe

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

Pues no me aparecen estos programas en la lista

Logfile of HijackThis v1.99.1

Scan saved at 16:30:37, on 17/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Melbu\Escritorio\HijackThis_1.99.1.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [AdwareDelete] C:\Archivos de programa\AdwareDelete\adwaredelete.exe /h

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra button: Microsoft AntiSpyware helper - {5649797D-9183-423C-A6E8-9505F30298ED} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5649797D-9183-423C-A6E8-9505F30298ED} - (no file) (HKCU)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112990573124

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **maura63** » 17 May 2005, 16:39

Conoces esto

O4 - HKLM\..\Run: [AdwareDelete] C:\Archivos de programa\AdwareDelete\adwaredelete.exe /h

de no saber elimina.

Trata de actualizar via windows update y comprueba que se muestren archivos y carpetas ocultos del sistema.

Saludos

maura63

Mensaje por **msc hotline sat** » 18 May 2005, 19:48

Curiosamente hay una utilidad ADWAREDELETE que es una utilidad antispyware, pero es un .COM, no .EXE, aunque quizás el .COM es el instalador, y una vez instalado quede como ejecutable el .EXE

ver:

http://www.adwaredelete.com/?wm=10004&swm=133

saludos

ms, 18-05-2005

Picaso · Mensaje por **Picaso** » 19 May 2005, 20:12

Estoy desesperado, nose que hacer para quitarme el p**o mensaje de warning en el escritorio, le he pasao un huevo de cosas, el adware remove, el diskclean despues de los pasos, todo, pero sigue sin irse, alguien me explica a k se debe este mensaje hijo de p**a q no sabe hacer otra cosa q j**e la marrana. He instalado todo lo de windows menos el sp2 porque me da problemas , nose q hacer...

Mil perdones por el vocabulario...

Pero ayudenmeeeee!!!!

Logfile of HijackThis v1.99.1

Scan saved at 18:56:39, on 19/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ipeh32.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\sysdd32.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Melbu\Escritorio\HijackThis_1.99.1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Class - {544AA546-ADBE-242A-7601-DD9E43DBD201} - C:\WINDOWS\ntia32.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"

O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iexplore.exe] C:\Archivos de programa\Internet Explorer\iexplore.exe

O4 - HKLM\..\Run: [sysdd32.exe] C:\WINDOWS\sysdd32.exe

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra button: Microsoft AntiSpyware helper - {5649797D-9183-423C-A6E8-9505F30298ED} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5649797D-9183-423C-A6E8-9505F30298ED} - (no file) (HKCU)

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112990573124

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ipeh32.exe

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 19 May 2005, 20:33

Tras proceder como se indica en:

https://foros.zonavirus.com/viewtopic.php?t=6760

puede tratar de seleccionar y dar FIX segun se le indica:

Si no los conoce, borre estos dos ficheros

C:\WINDOWS\system32\ipeh32.exe

C:\WINDOWS\sysdd32.exe

y seleccione las siguientes claves y eliminelas con FIX:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mgxdh.dll/sp.html#59130

R3 - Default URLSearchHook is missing

Estas solo si no las conoce:

O2 - BHO: Class - {544AA546-ADBE-242A-7601-DD9E43DBD201} - C:\WINDOWS\ntia32.dll

O4 - HKLM\..\Run: [iexplore.exe] C:\Archivos de programa\Internet Explorer\iexplore.exe

O4 - HKLM\..\Run: [sysdd32.exe] C:\WINDOWS\sysdd32.exe

estas dos no encuentra fichero, tranquilamente FIX

O9 - Extra button: Microsoft AntiSpyware helper - {5649797D-9183-423C-A6E8-9505F30298ED} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5649797D-9183-423C-A6E8-9505F30298ED} - (no file) (HKCU)

esta solo si no la conoce:

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ipeh32.exe

estas tranquilamente porque no encuentra el fichero:

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)

O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)

Y tras ello, reinicie y cuentenos el resultado, como respuesta de este Tema, gracias

y francamente, me extraña que antes hubiera pasao el ELISTARA, como se le indica al principio de este apartado., en el tutorial de spywares:

https://foros.zonavirus.com/viewtopic.php?t=5148

saludos

ms, 19-05-2005

El tipico warning pero con mas problemas

El tipico warning pero con mas problemas

EL warning de lo hue.os