Hola amigos,
Tengo un spyware que se llama CnsMin, lo he intentado quitar con el Microsoft Antispyware , que me lo detecta y los quita pero después le paso el scan y vuelve a salir.
¿Sabeis como lo puedo quitar definitivamente?
Gracias, JORDI
CnsMin (solucionado)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Mira de eliminarlo arrancando en modo seguro, y si es XP, deshabilitando la restauracion de sistema.
Es porque si el fichero está en uso, windows no deja eliminarlo
saludos
ms, 6-06-2005
Es porque si el fichero está en uso, windows no deja eliminarlo
saludos
ms, 6-06-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Bajar :
http://www.hijackthis.de/downloads/hijackthis_199.zip
Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.
Saludos
maura63
Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Aparte del log que nos puedas enviar del HJT, he encontrado la informacion y él método de eliminacion de este malware, muy "chino":
http://www.doxdesk.com/parasite/CnsMin.html
Mira si te sirve, y en cualquier caso siempre es util saber a qué nos enfrentamos
saludos
ms, 8-06-2005
Mira si te sirve, y en cualquier caso siempre es util saber a qué nos enfrentamos
saludos
ms, 8-06-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Esto es lo que me ha salido:
Logfile of HijackThis v1.99.1
Scan saved at 20:41:50, on 08/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\ARCHIV~1\Xpoint\xpadmin\xpadmin.exe
C:\ARCHIV~1\Xpoint\agent\Xpagent.exe
C:\ARCHIV~1\Xpoint\EEClient\xpclient.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Archivos de programa\WildTangent\Apps\CDA\GameDrvr.exe
C:\WINDOWS\system32\tp4serv.exe
C:\ARCHIV~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Archivos de programa\VERITAS Software\StorageGuard\sgtray.exe
C:\WINDOWS\System32\rmctrl.exe
C:\ARCHIV~1\ThinkPad\CONNEC~1\Qctray.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\AVPersonal\AVSched32.EXE
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\FinePixViewer\QuickDCF.exe
C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\DOCUME~1\Jordi\CONFIG~1\Temp\Directorio temporal 1 para hijackthis_199.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.yahoo.es
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =http://www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.yahoo.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [WildTangent CDA] "C:\Archivos de programa\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Archivos de programa\WildTangent\Apps\CDA\cdaEngine0500.dll"
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPTRAY] C:\ARCHIV~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\VERITAS Software\StorageGuard\sgtray.exe" /r
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [QCTRAY] C:\ARCHIV~1\ThinkPad\CONNEC~1\Qctray.exe
O4 - HKLM\..\Run: [PCRecSA] C:\ARCHIV~1\Xpoint\PE\PCRECSA.EXE -noshow
O4 - HKLM\..\Run: [LtMoh] C:\PROGRA~1\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [AVSCHED32] C:\Archivos de programa\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\ARCHIV~1\3721\helper.dll,Rundll32
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Archivos de programa\FinePixViewer\QuickDCF.exe
O4 - Global Startup: HotKey.lnk = C:\Archivos de programa\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Quick Search (Yisou.com) - res://C:\WINDOWS\DOWNLO~1\CnsMinEx.dll/1003
O9 - Extra button: Short Message - {00000000-0000-0001-0001-596BAEDD1289} -http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: Yahoo 1G mail - {507F9113-CD77-4866-BA92-0E86DA3D0B97} -http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: E bazar - {59BC54A2-56B3-44a0-93E5-432D58746E26} -http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - Extra button: 3721CMail - {5D73EE86-05F1-49ed-B850-E423120EC329} -http://cmail.3721.com?fb=client (file missing)
O9 - Extra button: 3721 Assistant - {5D73EE86-05F1-49ed-B850-E423120EC338} -http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: Instant Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} -http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: Repair Browser - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} -http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} -http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: Clean Internet access record - {FD00D911-7529-4084-9946-A29F1BDF4FE5} -http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS] Chinese keywords
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6F74F92E-8DD8-4DDE-8FB8-CBB882A68048} (Microsoft Office XP Professional Step by Step Interactive) - file://C:\Archivos de programa\Cursos interactivos de Microsoft\O10C\mitm0026.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) -http://www-307.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Xpoint PCRadmin Server (PCRadminServer) - Unknown owner - C:\ARCHIV~1\Xpoint\PE\pcradmin.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: Xpoint Admin Server (XPadminServer) - Unknown owner - C:\ARCHIV~1\Xpoint\xpadmin\xpadmin.exe
O23 - Service: Xpoint Agent Server (xpAgentServer) - Unknown owner - C:\ARCHIV~1\Xpoint\agent\Xpagent.exe
Logfile of HijackThis v1.99.1
Scan saved at 20:41:50, on 08/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\ARCHIV~1\Xpoint\xpadmin\xpadmin.exe
C:\ARCHIV~1\Xpoint\agent\Xpagent.exe
C:\ARCHIV~1\Xpoint\EEClient\xpclient.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Archivos de programa\WildTangent\Apps\CDA\GameDrvr.exe
C:\WINDOWS\system32\tp4serv.exe
C:\ARCHIV~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Archivos de programa\VERITAS Software\StorageGuard\sgtray.exe
C:\WINDOWS\System32\rmctrl.exe
C:\ARCHIV~1\ThinkPad\CONNEC~1\Qctray.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\AVPersonal\AVSched32.EXE
C:\Archivos de programa\AVPersonal\AVGNT.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\FinePixViewer\QuickDCF.exe
C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\DOCUME~1\Jordi\CONFIG~1\Temp\Directorio temporal 1 para hijackthis_199.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [WildTangent CDA] "C:\Archivos de programa\WildTangent\Apps\CDA\GameDrvr.exe" /startup "C:\Archivos de programa\WildTangent\Apps\CDA\cdaEngine0500.dll"
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPTRAY] C:\ARCHIV~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\VERITAS Software\StorageGuard\sgtray.exe" /r
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [QCTRAY] C:\ARCHIV~1\ThinkPad\CONNEC~1\Qctray.exe
O4 - HKLM\..\Run: [PCRecSA] C:\ARCHIV~1\Xpoint\PE\PCRECSA.EXE -noshow
O4 - HKLM\..\Run: [LtMoh] C:\PROGRA~1\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [AVSCHED32] C:\Archivos de programa\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Archivos de programa\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\ARCHIV~1\3721\helper.dll,Rundll32
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Archivos de programa\FinePixViewer\QuickDCF.exe
O4 - Global Startup: HotKey.lnk = C:\Archivos de programa\TEXTware\HotKey\Twalink.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Quick Search (Yisou.com) - res://C:\WINDOWS\DOWNLO~1\CnsMinEx.dll/1003
O9 - Extra button: Short Message - {00000000-0000-0001-0001-596BAEDD1289} -
O9 - Extra button: Yahoo 1G mail - {507F9113-CD77-4866-BA92-0E86DA3D0B97} -
O9 - Extra button: E bazar - {59BC54A2-56B3-44a0-93E5-432D58746E26} -
O9 - Extra button: 3721CMail - {5D73EE86-05F1-49ed-B850-E423120EC329} -
O9 - Extra button: 3721 Assistant - {5D73EE86-05F1-49ed-B850-E423120EC338} -
O9 - Extra button: Instant Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} -
O9 - Extra 'Tools' menuitem: Repair Browser - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} -
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} -
O9 - Extra 'Tools' menuitem: Clean Internet access record - {FD00D911-7529-4084-9946-A29F1BDF4FE5} -
O11 - Options group: [!CNS] Chinese keywords
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {6F74F92E-8DD8-4DDE-8FB8-CBB882A68048} (Microsoft Office XP Professional Step by Step Interactive) - file://C:\Archivos de programa\Cursos interactivos de Microsoft\O10C\mitm0026.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Xpoint PCRadmin Server (PCRadminServer) - Unknown owner - C:\ARCHIV~1\Xpoint\PE\pcradmin.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: Xpoint Admin Server (XPadminServer) - Unknown owner - C:\ARCHIV~1\Xpoint\xpadmin\xpadmin.exe
O23 - Service: Xpoint Agent Server (xpAgentServer) - Unknown owner - C:\ARCHIV~1\Xpoint\agent\Xpagent.exe
Imprime o copia estas indicaciones!!!
Desactiva el Microsoft Antispiware hasta terminar de limpiar la pc.
Fijate en Agregar o Quitar Programas si están y los eliminas
Chinese keywords
Cnsmin
3721
Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack
Baja este programa:
disk cleaner
http://www.xs4all.nl/~mp2004/
Y el AdAware Se 1.06 :
http://fileforum.betanews.com/download/Adaware_SE_Personal/965718306/1
Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )
Desactiva Restaurar Sistema
Reinicia en Modo seguro
Haz que se vean todos los archivos.
Cierra todas las aplicaciones
Lanza el Hijack
Scan y luego Fix a estas:
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\ARCHIV~1\3721\helper.dll,Rundll32
O8 - Extra context menu item: Quick Search (Yisou.com) - res://C:\WINDOWS\DOWNLO~1\CnsMinEx.dll/1003
O9 - Extra button: Short Message - {00000000-0000-0001-0001-596BAEDD1289} -http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: Yahoo 1G mail - {507F9113-CD77-4866-BA92-0E86DA3D0B97} -http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: E bazar - {59BC54A2-56B3-44a0-93E5-432D58746E26} -http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - Extra button: 3721CMail - {5D73EE86-05F1-49ed-B850-E423120EC329} -http://cmail.3721.com?fb=client (file missing)
O9 - Extra button: 3721 Assistant - {5D73EE86-05F1-49ed-B850-E423120EC338} -http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: Instant Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} -http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: Repair Browser - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} -http://assistant.3721.com/security1.htm?fb=Cns (file missing
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} -http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: Clean Internet access record - {FD00D911-7529-4084-9946-A29F1BDF4FE5} -http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS] Chinese keywords
Cierra el Hijack.
Busca estos archivos y los eliminas:
C:\WINDOWS\DOWNLO~1\CnsHook.dll
C:\WINDOWS\DOWNLO~1\CnsMin.dll
C:\ARCHIV~1\3721\helper.dll
Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.
Vacía la Papelera
Lanza el AdAware Se 1.06 actualizado al 31/05/05
Activa y ejecuta el Microsoft Antispiware
Reinicia normal, conecta Internet y pega un nuevo log
Salu2
Caito
Desactiva el Microsoft Antispiware hasta terminar de limpiar la pc.
Fijate en Agregar o Quitar Programas si están y los eliminas
Chinese keywords
Cnsmin
3721
Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack
Baja este programa:
disk cleaner
Y el AdAware Se 1.06 :
Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )
Desactiva Restaurar Sistema
Reinicia en Modo seguro
Haz que se vean todos los archivos.
Cierra todas las aplicaciones
Lanza el Hijack
Scan y luego Fix a estas:
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\ARCHIV~1\3721\helper.dll,Rundll32
O8 - Extra context menu item: Quick Search (Yisou.com) - res://C:\WINDOWS\DOWNLO~1\CnsMinEx.dll/1003
O9 - Extra button: Short Message - {00000000-0000-0001-0001-596BAEDD1289} -
O9 - Extra button: Yahoo 1G mail - {507F9113-CD77-4866-BA92-0E86DA3D0B97} -
O9 - Extra button: E bazar - {59BC54A2-56B3-44a0-93E5-432D58746E26} -
O9 - Extra button: 3721CMail - {5D73EE86-05F1-49ed-B850-E423120EC329} -
O9 - Extra button: 3721 Assistant - {5D73EE86-05F1-49ed-B850-E423120EC338} -
O9 - Extra button: Instant Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} -
O9 - Extra 'Tools' menuitem: Repair Browser - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} -
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} -
O9 - Extra 'Tools' menuitem: Clean Internet access record - {FD00D911-7529-4084-9946-A29F1BDF4FE5} -
O11 - Options group: [!CNS] Chinese keywords
Cierra el Hijack.
Busca estos archivos y los eliminas:
C:\WINDOWS\DOWNLO~1\CnsHook.dll
C:\WINDOWS\DOWNLO~1\CnsMin.dll
C:\ARCHIV~1\3721\helper.dll
Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.
Vacía la Papelera
Lanza el AdAware Se 1.06 actualizado al 31/05/05
Activa y ejecuta el Microsoft Antispiware
Reinicia normal, conecta Internet y pega un nuevo log
Salu2
Caito
Parece que finalmente he acabado con el , (por lo menos ahora no ha aparecido en el scan del Microsoft antyspyware).
Efectivamente tenía el programa Chinese keyword lo he quitado , al quitarlo me indicaba que quitaria todos los software relativos a este . Entonces he pasado el Scan de Microsoft y me han aparecido algunos elementos de CsnMin pero muchos menos en cantidad que en las ocasiones anteriores. Entonces los he eliminado como otras veces y esta vez al reiniciar y pasar el scan otra vez ya no me ha detectado ninguno. Al contrario de lo que pasaba anteriormente.
Este programa seguramente me lo descargue yo hace tiempo para poder ver los caracteres chinos en mi ordenador .
Lo único que me pregunto es si este Cns min no fuera tan Spyware y simplemente fuera un elemento asociado a este programa.
Bueno un saludo y gracias a todos, JORDI
Efectivamente tenía el programa Chinese keyword lo he quitado , al quitarlo me indicaba que quitaria todos los software relativos a este . Entonces he pasado el Scan de Microsoft y me han aparecido algunos elementos de CsnMin pero muchos menos en cantidad que en las ocasiones anteriores. Entonces los he eliminado como otras veces y esta vez al reiniciar y pasar el scan otra vez ya no me ha detectado ninguno. Al contrario de lo que pasaba anteriormente.
Este programa seguramente me lo descargue yo hace tiempo para poder ver los caracteres chinos en mi ordenador .
Lo único que me pregunto es si este Cns min no fuera tan Spyware y simplemente fuera un elemento asociado a este programa.
Bueno un saludo y gracias a todos, JORDI
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Ya vió la descripciAl menos la descripcion del mismo en:
http://www.doxdesk.com/parasite/CnsMin.html
le sirvió para conocerlo
En cualquier caso, solucionado en problema, procedemos a cerrarlo
saludos
ms, 9-06-2005
le sirvió para conocerlo
En cualquier caso, solucionado en problema, procedemos a cerrarlo
saludos
ms, 9-06-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online