Spybot lo detecta pero no lo elimina

[jhontoriar]

Hago referencia a "myway"que al pasar hijackthis aparece de nuevo.¿puedo eliminarlo de un teclazo? Este es mi log en "a prueba de fallos". Gracias

Logfile of HijackThis v1.99.0

Scan saved at 0:22:08, on 11/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Manuel\Configuración local\Temp\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bw.myway.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet3_88.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PCLEPCI] I:\PPE.EXE

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup

O4 - HKCU\..\Run: [Spamihilator] "C:\Archivos de programa\Spamihilator\spamihilator.exe"

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\windows\GoogleToolbar3.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\windows\GoogleToolbar3.dll/cmcache.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINDOWS\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\WINDOWS\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\WINDOWS\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Similar Pages - res://c:\windows\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\windows\GoogleToolbar3.dll/cmtrans.html

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by17fd.bay17.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Herramienta de carga de Yahoo! Fotos Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_6es.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{591641D0-7CC3-4341-8CE4-4FB444EA4194}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{C00B6EC5-D507-44A1-9361-6DBEB92FA85F}: NameServer = 217.76.128.4,217.76.129.4

O17 - HKLM\System\CS1\Services\Tcpip\..\{591641D0-7CC3-4341-8CE4-4FB444EA4194}: NameServer = 62.36.225.150 62.37.228.20

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[flacoroo]

ya tienes la version mas nueva del spybot?..si no es asi bajala desde la seccion de descargas...la bajas, la actualizas y la corres en modo seguro....



http://www.zonavirus.com/descargas/spybot-sd.asp

[msc hotline sat]

Los logs del HJT no deben pasarse a prueba de fallos, porque asó no vemos las tareas en uso uutilizadas por los bichos, pero...



Está usando un HJT antiguo. Proximas veces use 1.99.1 http://www.hijackthis.de/downloads/hijackthis_199.zip



Lance de nuevo el HJT y selecciones y elimine con FIX las sifuyentes claves:



O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet3_88.dll



O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup





Y vea si conoce las aplicaciones a las que hace referencia las siguientes claves, y eliminelas si no gan sido voluntariamente programadas por Vd:



'Backward Links '

'Cached Snapshot '

'Instantánea de caché de la página '

'Páginas similares '

'Páginas vinculadas '







O8 - Extra context menu item: Backward Links - res://c:\windows\GoogleToolbar3.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\windows\GoogleToolbar3.dll/cmcache.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINDOWS\GoogleToolbar2.dll/cmcache.html Possibly nasty Entries shown in the menu that pops up when right-clicking into the Internet Explorer. Unknown entries should be fixed. To be fixed if the entry 'Instantánea de caché de la página ' is unknown.

O8 - Extra context menu item: Páginas similares - res://C:\WINDOWS\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\WINDOWS\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Similar Pages - res://c:\windows\GoogleToolbar3.dll/cmsimilar.html









Y la presencia de estas claves requiere la utilizacion de un antispyware actualizado arrancando en modo seguro:



O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net



Como que indicas que con tu antis`yware no has podido eliminarlas, prueba con otro, y si no lo logras tampoco, eliominalas con el HJT, pero sería preferible que con Spybot, Adaware, LPSFIX o similares, arrancvando en modo seguro se eliminara este troyano.



saludos



ms, 11-06-2005

[maura63]

Entra en Spybot en modo avanzado, pincha en configuracion e luego en productos, te saldra una ventana a la derecha con todos los BICHEJOS que detecta comprueba que la casilla de NEW NET no este marcada, si lo esta la desmarcas.



Luego en modo seguro y desactivando la restauracion vuelve a pasar Spybot.



Saludos

maura63

[msc hotline sat]

Y si no lo consigues con ello, posteanos nuevo log del HJT pero realizado en modo normal, para ver los ficheros en uso, y dinos el nombre del fichero donde te detecta el bicho.



Con el ELISTARA controlamos un MYWEBSEARCH que es una de las variantes del NyWat, pero pueden existir otras.



Si no pudiera eliminar, le pediríamos que nos enviara muestra a zonavirus@satinfo.es y lo analizaríamos para incluir su eliminacion en el ELISTARA.



saludos



ms, 13-06.2005

[jhontoriar]

He pasado tanto Spybot como Adware y el antivirus y en el log de Hijackthis sigue apareciendo "MyWay" (también desactivé restaurar), os lo pego. Gracias

Logfile of HijackThis v1.99.0

Scan saved at 2:08:39, on 14/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\rundll32.exe

C:\Archivos de programa\Spamihilator\spamihilator.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\apvxdwin.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Manuel\Configuración local\Temp\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bw.myway.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet3_88.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PCLEPCI] I:\PPE.EXE

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup

O4 - HKCU\..\Run: [Spamihilator] "C:\Archivos de programa\Spamihilator\spamihilator.exe"

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\windows\GoogleToolbar3.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\windows\GoogleToolbar3.dll/cmcache.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINDOWS\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\WINDOWS\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\WINDOWS\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Similar Pages - res://c:\windows\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\windows\GoogleToolbar3.dll/cmtrans.html

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by17fd.bay17.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Herramienta de carga de Yahoo! Fotos Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_6es.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{591641D0-7CC3-4341-8CE4-4FB444EA4194}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CCS\Services\Tcpip\..\{C00B6EC5-D507-44A1-9361-6DBEB92FA85F}: NameServer = 217.76.128.4,217.76.129.4

O17 - HKLM\System\CS1\Services\Tcpip\..\{591641D0-7CC3-4341-8CE4-4FB444EA4194}: NameServer = 62.36.225.150 62.37.228.20

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[caito]

Imprime o copia estas indicaciones!!!

Baja este programa :

http://danborg.org/spy/Newnet/LSPfix.exe

Baja este programa:

disk cleaner

http://www.xs4all.nl/~mp2004/

Y el AdAware Se 1.06 :

http://fileforum.betanews.com/download/Adaware_SE_Personal/965718306/1





Busca en Agregar o Quitar Programas New Net New Dot Net

trata de desinstalarlo, si no está haz una búsqueda de la carpeta y fíjate si hay un Unistall, si lo hay ejecútalo.

Si no andá a :

http://www.newdotnet.com/removal.html

y busca el Unistall y ejecútalo.

Si te llegas a quedar sin Internet luego de esto ejecuta el LSPFix:

Doble click

Selecciona: (Advanced) "I know what I'm doing"

Seleciona : " newdotnet3_88.dll "

"(panel izquierdo)

Selecciona con la flecha derecha ese archivo y traélo al panel REMOVE (panel derecho).

Luego dale al boton FINISH .

Reinicia la pc.

Reinicia en Modo seguro

Desactiva Restaurar Sistema

Haz que se vean todos los archivos.

Cierra todas las aplicaciones

Lanza el Hijack

Scan y luego Fix a estas:



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bw.myway.com/

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet3_88.dll

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

Cierra el Hijack.

Busca estos archivos y los eliminas:

C:\Archivos de programa\NewDotNet

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se 1.06 actualizado al 13/06/05

Reinicia normal, conecta Internet y pega un nuevo log

Salu2

Caito

[msc hotline sat]

Pero antes de seguir las indicaciones arriba indicadas, envianos este fichero:



C:\Archivos de programa\NewDotNet\newdotnet3_88.dll



a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y te contestaremos como respuesta de este Tema con el resultado del analisis, y posiblemente ofreciendote uses una nueva version de ELISTARA en la que habremos implementado la eliminacion facil y automatica de esta aplicacion, NewDotnet, como con tantas otras ya hemos hecho.



saludos



ms, 14-06-2005

[msc hotline sat]

Ya hemos subido a esta web nueva version 8.9 de ELISTARA.exe que controla y elimina automaticamente este intruso NewDoNet



https://foros.zonavirus.com/viewtopic.php?p=33522#33522



Tras descargarla, arranca en modo seguro y lanzala, y nos cuentas el resultado,. gracias



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







saludos



ms, 14-06-2005

[jhontoriar]

Caito, he seguido paso a paso tus consejo y este es el Log resultante. Gracias



Logfile of HijackThis v1.99.0

Scan saved at 2:08:20, on 15/06/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Spamihilator\spamihilator.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\apvxdwin.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Manuel\Configuración local\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PCLEPCI] I:\PPE.EXE

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKCU\..\Run: [Spamihilator] "C:\Archivos de programa\Spamihilator\spamihilator.exe"

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\windows\GoogleToolbar3.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\windows\GoogleToolbar3.dll/cmcache.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\WINDOWS\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\WINDOWS\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\WINDOWS\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Similar Pages - res://c:\windows\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\windows\GoogleToolbar3.dll/cmtrans.html

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by17fd.bay17.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {812A5592-FBF0-4D40-B0EF-CEA668406C0C} (Herramienta de carga de Yahoo! Fotos Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_6es.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C00B6EC5-D507-44A1-9361-6DBEB92FA85F}: NameServer = 217.76.128.4,217.76.129.4

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[caito]

Yo lo veo limpio :lol:

Cómo va todo ?

Salu2

Caito

[maura63]

En lo que muestra esta limpio.



Actualiza via windows update o volveras a tener problemas



tu log



Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Vamos por el SP2 + parches, hoy 10 +.



Saludos

maura63

[msc hotline sat]

Dinos si tienes algun problema, condicion imprescindible para postear log del HJT !!!



https://foros.zonavirus.com/viewtopic.php?p=23209#23209



Creo que no estás teniendo en cuenta esta primera premisa .



Informanos al respecto para considerar solucionado el Tema en su caso.



saludos



ms, 15-06-2005