Aqui os dejo un log (solucionado)

[txe69]

Logfile of HijackThis v1.99.0

Scan saved at 20:20:49, on 29/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Belkin\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PaSSrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PavProt.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE

C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE

C:\Archivos de programa\Belkin\Software Bluetooth\BTTray.exe

C:\Archivos de programa\FotoStation Easy\FotoStation Easy AutoLaunch.exe

C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\WebProxy.exe

C:\Documents and Settings\Veronica\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [WireLessMouse ] C:\Archivos de programa\Multimedia Combo Set\MouseDrv.exe

O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Archivos de programa\Multimedia Combo Set\PS2USBKbdDrv.exe

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PasSrv.exe"

O4 - Startup: Xfire.lnk = C:\Archivos de programa\Xfire\Xfire.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) - http://67.15.101.3/g_bin/eng/darts_2_0_0_29.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_22.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_22.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CCB732FB-BD81-469D-B597-406442960C97}: NameServer = 80.58.0.33,80.58.32.97

O20 - AppInit_DLLs: PAVWAIT.DLL

O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Archivos de programa\Belkin\Software Bluetooth\bin\btwdins.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Antispam Server Service - Unknown - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service - Unknown - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service - Unknown - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PavFnSvr.exe

O23 - Service: Panda PavProt - Unknown - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service - Unknown - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Panda Preventium+ Service - Unknown - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PsImSvc.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe







Un saludo

[msc hotline sat]

En primer lugar debes haber pasado los antispywares y antivirus que te indicamos en:



https://foros.zonavirus.com/viewtopic.php?t=5148



y una vez eliminados todos los que detectes, si persiste algun problema, indicanoslo y postea el log, pero antes actualizalo a la version, 1.99.1:



http://www.hijackthis.de/downloads/hijackthis_199.zipactual



saludos



ms, 29-05-2005

[txe69]

Ya escanne to el pc borrando los problemas q me aparecian y mi nuevo log es este:



Logfile of HijackThis v1.99.1

Scan saved at 11:38:10, on 30/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Belkin\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PaSSrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PavProt.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE

C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe

C:\Archivos de programa\Multimedia Combo Set\MouseDrv.exe

C:\Archivos de programa\Belkin\Software Bluetooth\BTTray.exe

C:\Archivos de programa\FotoStation Easy\FotoStation Easy AutoLaunch.exe

C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE

C:\Archivos de programa\RegCleaner\RegCleanr.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\apvxdwin.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\WebProxy.exe

C:\Documents and Settings\Veronica\Mis documentos\COSAS DE TXEMA\hijackthis_199\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [WireLessMouse ] C:\Archivos de programa\Multimedia Combo Set\MouseDrv.exe

O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Archivos de programa\Multimedia Combo Set\PS2USBKbdDrv.exe

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PasSrv.exe"

O4 - Startup: Xfire.lnk = C:\Archivos de programa\Xfire\Xfire.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) - http://67.15.101.3/g_bin/eng/darts_2_0_0_29.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_22.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_22.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CCB732FB-BD81-469D-B597-406442960C97}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\Belkin\Software Bluetooth\bin\btwdins.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PavFnSvr.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\PsImSvc.exe







Un saludo

[maura63]

Solo desconozco esto, y seguramente sea algo instalado por ti. de no ser asi elimina.



C:\Archivos de programa\Multimedia Combo Set\MouseDrv.exe - Nasty

C:\Archivos de programa\FotoStation Easy\FotoStation Easy AutoLaunch.exe - Unknown

O4 - HKLM\..\Run: [WireLessMouse ] C:\Archivos de programa\Multimedia Combo Set\MouseDrv.exe - Unknown

O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Archivos de programa\Multimedia Combo Set\PS2USBKbdDrv.exe - Unknown



O4 - Global Startup: BTTray.lnk = ? -

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ? -

O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) - http://67.15.101.3/g_bin/eng/darts_2_0_0_29.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool - http://67.15.101.3/g_bin/eng/billard8_2_0_0_22.cab -

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_22.cab -



Te falta el SP2 del XP e IE y seguramente alguna que otra actualizacion.Comprueba via windows update.



Saludos

maura63

[msc hotline sat]

El primero de los ficheros indicados por maura63 puede corresponder al troyano CRYTER.A, y debieras haberlo detectado con tus programas de deteccion de virus y spywares, y eliminado con ellos, pues tienes cantidad de claves de registro modificadas por el virus, que no son visibles con el HJT, y deben ser eliminadas;



http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FCRYPTER%2EA&VSect=T


[quote="TREND"]


TROJ_CRYPTER.A



Overview Solution Technical Details Statistics



Size of malware: 12,288 Bytes



Initial samples received on: May 13, 2004



--------------------------------------------------------------------------------



Details:

Installation



This memory-resident Trojan uses the Windows Cryptographic System to decode itself. It drops a copy of itself in the Windows system folder using any of the following file names:



AUDIODRV.EXE

AUDIOINF.EXE

BLUECOL.EXE

CDDRV32.EXE

CMDCON.EXE

DISKINF.EXE

DLLREG.EXE

ENHANCE32.EXE

HELPEX32.EXE

INFDISK.EXE

KBDDRV32.EXE

KBDDRVINF.EXE

KBDRVINF.EXE

M32INFO.EXE

MAIN16.EXE

MAIN32.EXE

MOUSEBUT.EXE

MOUSEDRV.EXE,

MSURL32.EXE

MSWAVE.EXE

MSWAVEDLL.EXE

NETDLL32.EXE

NETDLLEX.EXE

P4MX4.EXE

PM32INFO.EXE

PWR32CRTL.EXE

PWR32CTR.EXE

SD32INFO.EXE

SVCINFO.EXE

SYSPWR.EXE

UN32INFO.EXE

VID32CNTL.EXE

VIDCNTL.EXE

It also drops an empty file in the Windows temporary folder using any of the abovementioned file names, but without the EXE extension.



Autostart Techniques



It creates the following registry entries to ensure its automatic execution at every system startup:



HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Run

<malware name without file extension> = “%System%\malware name”



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run

<malware name without file extension> = “%System%\malware name”



HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\uninstall\<malware name>

DisplayName = "<malware name without file extension>"



HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\uninstall\<malware name>

UninstallString = "<%System%\malware name> <Uninstall Key>"



(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 95, 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP.)



It accesses the following Web sites:



http://sa.

http://sa.

http://sa.

Other Registry Modifications



On Windows 2000, NT, and XP, it creates the following registry entry:



HKEY_CURRENT_USER\Software\Microsoft\

Windows NT\CurrentVersion\Windows

RUN = "%System%\<malware name>.exe"



On Windows 98, it adds the following line under [Windows] of WIN.INI:



RUN = %System%\<malware name>.exe



--------------------------------------------------------------------------------

Analysis by: Karmina Aquino


[/quote]



Si todavía no has borrado dicho fichero, mejor ponlo en cuarentena y envianos muestra a zonavirus@satinfo.es para que podamos hacerte herramienta de eliminacion de las claves que genera, aparte de detener el proceso y eliminar el fichero.



Si nos lo quieres enviar, dinoslo y te diremos como.



saludos



ms, 30-05-2005

[txe69]

Las entradas q ha citado maura, son programas instaladas p mi.

En cuanto las troyano CRYTER.A, no se a q fichero te refieres, pro al escanear el pc no me detecta nada



Un saludo

[maura63]

Nos referimos a esta



C:\Archivos de programa\Multimedia Combo Set\[color=red]MouseDrv.exe [/color]-



Saludos

maura63

[msc hotline sat]

A no ser que exista una aplicacion de Multimedia Combo Set con el nombre de MouseDrv.exe, y en este caso no lo detectaría el antivirus, claro, porque no sería bicho, pero sería la excepcion de confirmaría la regla, ya que como se puede ver en la descripcion de TREND, el CRYPTER.A crea un fichero con igual nombre, y lo mas probable, al no ser conocida una aplicacion que use dicho nombre, es que sea bicho, pero todo es posible...



Para salir de dudas, si no conoce dicha aplicacion, envienosla, y la analizaremos, pero si es consciente de haberla instalado, no elimine dicha clave ni el fichero.



saludos



ms, 30-05-2005

[txe69]

Esa entrada q citais es del teclao y raton inalambrico, desinstale el software ese y ya no me sale cuando paso el HijackThis.

Tambien he buscado el archivo MouseDrv.exe y el buscador de windows no me lo encuentra, cn lo que supongo q ya no se encuentre instalado



Un saludo

[txe69]

Esa entrada q citais es del teclao y raton inalambrico, desinstale el software ese y ya no me sale cuando paso el HijackThis.

Tambien he buscado el archivo MouseDrv.exe y el buscador de windows no me lo encuentra, cn lo que supongo q ya no se encuentre instalado.



Logfile of HijackThis v1.99.1

Scan saved at 22:02:58, on 30/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe

C:\Archivos de programa\Belkin\Software Bluetooth\BTTray.exe

C:\Archivos de programa\FotoStation Easy\FotoStation Easy AutoLaunch.exe

C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Belkin\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\SRVLOAD.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\apvxdwin.exe

C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\WebProxy.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Veronica\Mis documentos\COSAS DE TXEMA\hijackthis_199\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Telefonica Kit ADSL USB\CnxDslTb.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PasSrv.exe"

O4 - Startup: Xfire.lnk = C:\Archivos de programa\Xfire\Xfire.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView5\NkvMon.exe

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Belkin\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) - http://67.15.101.3/g_bin/eng/darts_2_0_0_29.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_22.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_22.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CCB732FB-BD81-469D-B597-406442960C97}: NameServer = 80.58.0.33,80.58.32.97

O20 - AppInit_DLLs: PAVWAIT.DLL

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\Belkin\Software Bluetooth\bin\btwdins.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Antispam Server Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PaSSrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum 2005 Internet Security\PsImSvc.exe







Un saludo

[maura63]

Estas entradas las reconoces de algun juego :?:



O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) - http://67.15.101.3/g_bin/eng/darts_2_0_0_29.cab



De no reconocerlas eliminalas.



Y que problema sigues teniendo :?:



Actualiza tu sistema via windows update.



Saludos

maura63

[txe69]

Esa entrada es de una pagina de juegos si.

La unica entrada q no me salia antes y ahora si es:

O20 - AppInit_DLLs: PAVWAIT.DLL

no se de q es y si deberia borrarla o no, por lo demas la pc va bien dentro de lo q cabe jejej



Gracias y un saludo

[msc hotline sat]

Visto que usas Panda, esta DLL puede ser de su cortafuegos



saludos



ms, 31-05-2005

[msc hotline sat]

Y si ya indicas no tener problemas con tu ordenador, entendiendo solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 31-05-2005