MENSAJE DE ERROR WINDOWS SPYWARE (Solucionado)

sallanac · Mensaje por **sallanac** » 03 Jun 2005, 12:41

Hola buenas,

la verdad es que no estoy muy puesto con este mundillo de los spywares.. bien el tema es que desde hace unos dias me aparece cada 10 minutos (3 veces consecutivas) una ventana de windows cuyo texto es: "WINDOWS ERROR SERVICE: Windows detected spyware on your computer. Download free Spyware Scanner & Remover." Hay que decir que el dia que aparecio le di a aceptar y me llevo a descargar el razespyware-que ya lo he desinstalado- El tema, es que paso tanto el Spyboot como Ad-aware y me dicen que estoy libre de robots o espias. Asi que más bien creo que se trata de una advertencia "falsa" de windows, eso si muy molesta pq no deja de aparecer. A ver si alguien me echa un cable para hacer desaparecer este mensaje. Por último.. y ya a tema de torpeza por parte mia establecí desde una pagina de internet una imagen como papel tapiz, ahora hay otra¡¡¡ el tema es que la anterior se me queda cada vez que salgo de windows al apagar el ordenador. Alguna idea???

Gracias y un saludo

Mensaje por **msc hotline sat** » 03 Jun 2005, 12:45

Descargue y pruebe el ELISTARA.EXE:

http://www.zonavirus.com/descargas/elistara.asp

Y nos informa del resultado como respuesta de este Tema, gracias

saludos

ms, 3-06-2005

Mensaje por **maura63** » 03 Jun 2005, 12:54

El programa Razspyware esta catalogado como software sospechoso y no confiable.

Si no lo consigues erradicar con el ELISTARA

Bajar :

http://www.hijackthis.de/downloads/hijackthis_199.zip

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

Saludos

maura63

Mensaje por **msc hotline sat** » 03 Jun 2005, 13:13

Efectivamente, como indica maura63, aunque ya lo desinstaló, el haber utilizado el razspyware pudo dejarle troyanos, primero limpie con el ELISTARA y si persiste el problema, copienos el log del HJT y lo estudiaremos, pero solo si persiste el problema, claro.

Por otro lado, desactive la emnsajería del Messenger, no fuera mensaje de este tipo:

[quote="Carolxsiempre"]

MENSAJERIA DEL MESSENGER-eliminacion manual

Estos mensajes los genera el Messenger Services de windows para desactivarlo sigue los siguientes pasos:

1. Desactivar el Servicio de Mensajería.

Con desactivar el servicio se consigue que no llegue ningún mensaje y por ende quedan evitados todos los mensajes de popups. Si su computadora pertenece a una red local, consulte con el administrador de esta antes de realizar este cambio.

En Windows NT y Windows 2000, se debe ir al Control Panel -> Services -> Messenger y detener el servicio.

En Windows XP se debe entrar al Control Panel -> Administrative Tools -> Services -> Messenger y detener el servicio.

NOTA: Para evitar que vuelva a activarse deberá cambiarse el tipo de Startup a que sea manual ya que por default es automatic, lo cual implica que se habilite cada vez que se inicia el sistema.

[/quote]

saludos

ms, 3-06-2005

sallanac · Mensaje por **sallanac** » 03 Jun 2005, 13:18

[quote="msc hotline sat"]Descargue y pruebe el ELISTARA.EXE:

http://www.zonavirus.com/descargas/elistara.asp

Y nos informa del resultado como respuesta de este Tema, gracias

saludos

ms, 3-06-2005[/quote]

CUANDO ENTRO AL ENLACE DE SAT INFO ME PIDE UN USUARIO Y CONTRASEÑA DE RED QUE NO ME DEJA ACCEDER A LA DESCARGA DEL ARCHIVO. HAY ALGUN ENLACE DIRECTO QUE ME LO PERMITA DESCARGAR? GRACIAS

Mensaje por **maura63** » 03 Jun 2005, 13:20

Registrate en el foro nuevo para descargar la utilidad.

Introduce el mismo usuario y paswoord.

Saludos

maura63

Mensaje por **msc hotline sat** » 03 Jun 2005, 13:22

La web de SATINFO http://www.satinfo.es es solo para usuarios asociados a su servicio de asistencia tecnica, pero en este foro tenemos acceso en concepto de pruebas de evaluacion de algunas de las utilidades en cuestion, y en el link que se indica de esta web, lo podrá descargar:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 3-06-2005

sallanac · Mensaje por **sallanac** » 03 Jun 2005, 13:30

[quote="msc hotline sat"]La web de SATINFO http://www.satinfo.es es solo para usuarios asociados a su servicio de asistencia tecnica, pero en este foro tenemos acceso en concepto de pruebas de evaluacion de algunas de las utilidades en cuestion, y en el link que se indica de esta web, lo podrá descargar:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 3-06-2005[/quote]

SIENTO DAR TANTO LA LATA PERO CLICKEO EN ESE LINK LA OPCION DE DESCARGAR ELISTARA 8.5 TRAS UNA BREVE APA- RICION DE 1 SEG. DE UN CUADRADITO PEQUEÑO (INTENTO DE ABRIR ENLACE) SE CIERRA Y NO HAY NADA QUE HACER. UMMM ALGO HAGO MAL???

GRACIAS

Mensaje por **maura63** » 03 Jun 2005, 13:31

Te has registrado como te comente antes. :?:

Saludos

maura63

Mensaje por **maura63** » 03 Jun 2005, 13:37

ve a http://www.zonavirus.com arriba a la derecha tienes PANEL DE CONTROL, introduce tu nick y paswoord, pasaras a otra página pincha en zona publica y despues en descargas y en utilidades satinfo y descargaras sin problemas.

Esta testado.

Saludos

maura63

sallanac · Mensaje por **sallanac** » 03 Jun 2005, 15:44

[quote="msc hotline sat"]Efectivamente, como indica maura63, aunque ya lo desinstaló, el haber utilizado el razspyware pudo dejarle troyanos, primero limpie con el ELISTARA y si persiste el problema, copienos el log del HJT y lo estudiaremos, pero solo si persiste el problema, claro.

Por otro lado, desactive la emnsajería del Messenger, no fuera mensaje de este tipo:

[quote="Carolxsiempre"]

MENSAJERIA DEL MESSENGER-eliminacion manual

Estos mensajes los genera el Messenger Services de windows para desactivarlo sigue los siguientes pasos:

1. Desactivar el Servicio de Mensajería.

Con desactivar el servicio se consigue que no llegue ningún mensaje y por ende quedan evitados todos los mensajes de popups. Si su computadora pertenece a una red local, consulte con el administrador de esta antes de realizar este cambio.

En Windows NT y Windows 2000, se debe ir al Control Panel -> Services -> Messenger y detener el servicio.

En Windows XP se debe entrar al Control Panel -> Administrative Tools -> Services -> Messenger y detener el servicio.

NOTA: Para evitar que vuelva a activarse deberá cambiarse el tipo de Startup a que sea manual ya que por default es automatic, lo cual implica que se habilite cada vez que se inicia el sistema.

[/quote]

saludos

ms, 3-06-2005[/quote]
TENGO EL WINDOWS MILLENIUM Y NO VEO QUE PUEDA ACCEDER A DESACTIVAR EL SERVICIO DE MENSAJERIA DE WINDOWS(TAL Y COMO PONEIS PARA QUE ME DESAPAREZCA LA VENTANA DE WINDOWS TIPO POPUP QUE NO PARA DE SAÑIR). LOS PASOS SON LOS MISMOS QIE WIN 2000 O XP?

GRACIAS

sallanac · Mensaje por **sallanac** » 03 Jun 2005, 15:46

[quote="msc hotline sat"]Descargue y pruebe el ELISTARA.EXE:

http://www.zonavirus.com/descargas/elistara.asp

Y nos informa del resultado como respuesta de este Tema, gracias

saludos

ms, 3-06-2005[/quote]
BUENAS HE PASADO EL ELISTARA Y LA VENTANITA TIPO POPUP CON EL MENSAJE CITADO SIGUE SALIENDO. ALGUNA OTRA ALTERNATIVA? GRACIAS

sallanac · Mensaje por **sallanac** » 03 Jun 2005, 16:00

[quote="maura63"]El programa Razspyware esta catalogado como software sospechoso y no confiable.

Si no lo consigues erradicar con el ELISTARA

Bajar :

http://www.hijackthis.de/downloads/hijackthis_199.zip

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

Saludos

maura63[/quote]
Logfile of HijackThis v1.99.1

Scan saved at 15:58:25, on 04/07/2005

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\ATI2EVXX.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\ATIPTAXX.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\MSN APPS\UPDATER\01.02.3000.1001\ES\MSNAPPAU.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM32\INETSRV\SERVICES.EXE

C:\WINDOWS\SYSTEM\MSXCT.EXE

C:\ARCHIVOS DE PROGRAMA\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\MEDIA KEY\MAGICKEY.EXE

C:\ARCHIVOS DE PROGRAMA\OLYMPUS\CAMEDIA MASTER 4.1\CM_CAMERA.EXE

C:\ARCHIVOS DE PROGRAMA\MEDIA KEY\OSD.EXE

C:\ARCHIVOS DE PROGRAMA\TELEFONICA\KITAIM\AIMMON.EXE

C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARCHIVOS DE PROGRAMA\WINRAR\WINRAR.EXE

C:\WINDOWS\TEMP\RAR$EX00.862\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CARCHIVOS%20DE%20PROGRAMA%5CNETSCAPE%5CNETSCAPE%206%5Csearchplugins%5CNetscape_Espanol.src"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\9m861hcj.slt\prefs.js)

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O1 - Hosts: 62.81.237.170 beta.search.msn.com

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES\MSNTB.DLL

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES\MSNTB.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\ARCHIVOS DE PROGRAMA\ISTBAR\ISTBARCM.DLL (file missing)

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.ExE

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AgenteADSL_15] C:\ARCHIVOS DE PROGRAMA\TELEFONICA\KITAIM\AimExDll.exe AimGestA.dll 10 run

O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [SuperBar.Component] C:\WINDOWS\system32\inetsrv\services.exe

O4 - HKLM\..\Run: [AdRotator.Application] C:\WINDOWS\system32\drivers\csrss.exe

O4 - HKLM\..\Run: [{357AA41A-B7A8-4632-A27D-5B980B25CF43}] C:\WINDOWS\system32\wbem\svchost.exe

O4 - HKLM\..\Run: [msxct] msxct.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe

O4 - HKLM\..\RunServices: [rtvscn95] C:\ARCHIV~1\SYMANT~1\SYMANT~1\rtvscn95.exe

O4 - HKLM\..\RunServices: [defwatch] C:\ARCHIV~1\SYMANT~1\SYMANT~1\defwatch.exe

O4 - Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Startup: Media Key.lnk = C:\Archivos de programa\Media Key\MagicKey.exe

O4 - Startup: CAMEDIA Master.lnk = C:\Archivos de programa\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe

O15 - Trusted Zone: http://*.windupdates.com

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 80.58.61.250,80.58.61.254

Mensaje por **maura63** » 03 Jun 2005, 16:28

Conoces esta aplicacion, si no es asi elimina, desactiva la restauracion del sistema al usar ME

C:\WINDOWS\SYSTEM\MSXCT.EXE -

Arranca en modo seguro lanza hijackthis pulsa scan , marcas las siguientes entradas y pulsa FIX, acepta y en modo normal comprueba

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL -

O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\ARCHIVOS DE PROGRAMA\ISTBAR\ISTBARCM.DLL (file missing) -

O4 - HKLM\..\Run: [autoclk] autoclk.exe -

O4 - HKLM\..\Run: [SuperBar.Component] C:\WINDOWS\system32\inetsrv\services.exe -

O4 - HKLM\..\Run: [AdRotator.Application] C:\WINDOWS\system32\drivers\csrss.exe -

O4 - HKLM\..\Run: [{357AA41A-B7A8-4632-A27D-5B980B25CF43}] C:\WINDOWS\system32\wbem\svchost.exe -

O4 - HKLM\..\Run: [msxct] msxct.exe -

O4 - Startup: Media Key.lnk = C:\Archivos de programa\Media Key\MagicKey.exe -

O15 - Trusted Zone: http://*.windupdates.com -

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) - y

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab -

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab -

Saludos

maura63

sallanac · Mensaje por **sallanac** » 05 Jun 2005, 11:36

[quote="maura63"]Conoces esta aplicacion, si no es asi elimina, desactiva la restauracion del sistema al usar ME

C:\WINDOWS\SYSTEM\MSXCT.EXE -

Arranca en modo seguro lanza hijackthis pulsa scan , marcas las siguientes entradas y pulsa FIX, acepta y en modo normal comprueba

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O1 - Hosts: 62.81.237.170 beta.search.msn.com -

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL -

O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\ARCHIVOS DE PROGRAMA\ISTBAR\ISTBARCM.DLL (file missing) -

O4 - HKLM\..\Run: [autoclk] autoclk.exe -

O4 - HKLM\..\Run: [SuperBar.Component] C:\WINDOWS\system32\inetsrv\services.exe -

O4 - HKLM\..\Run: [AdRotator.Application] C:\WINDOWS\system32\drivers\csrss.exe -

O4 - HKLM\..\Run: [{357AA41A-B7A8-4632-A27D-5B980B25CF43}] C:\WINDOWS\system32\wbem\svchost.exe -

O4 - HKLM\..\Run: [msxct] msxct.exe -

O4 - Startup: Media Key.lnk = C:\Archivos de programa\Media Key\MagicKey.exe -

O15 - Trusted Zone: http://*.windupdates.com -

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) - y

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab -

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab -

Saludos

maura63[/quote]

Bueno, por fin parece que tras lanzar esta aplicación y tras un dia comprobandolo ha desaparecido esa ventana de alerta de windows. Lo único que me queda por resolver es que, ahora cada vez que enciendo el ordenador me sale la pantalla para poder inciar la sesión en modo normal, prueba de errores, ... en lugar de cargar windows directamente como lo hacia antes¡¡¡ pero bueno que el problema por lo visto ya está resuelto. Gracias¡¡¡¡

caito · Mensaje por **caito** » 05 Jun 2005, 21:31

Ve a Inicio-Ejecutar-escribe :

msconfig

se abrirá el programa de configuración del sistema

busca "Avanzado", verifica que NO esté tildada la opción "Activar menu de Inicio"

Salu2

Caito

Mensaje por **msc hotline sat** » 06 Jun 2005, 11:44

y tras probarlo, indicanos si ya lo tienes todo bien para poder cerrar el Tema

gracias

saludos

ms, 6-06-2005

sallanac · Mensaje por **sallanac** » 06 Jun 2005, 15:36

Hola de nuevo,

a ver.. ejecuté el hijack con los parametros que me aconsejó maura y durante 2 dias no habia vuelto a parecer ese mensaje.Pues bien hoy lunes a vuelto a saltar(CON LOS MISMOS SINTOMAS-3 VECES SEGUIDAS CADA 10-15 MINTS). . He pasado el adware y me ha salido lo siguiente: Enigma.spy (Object:HEY_LOCAL_MACHINE:SO) responsible for windows error service program). location: SOFTWARE\MICROSOFT\WINDOWS

OS PASO UNA COPIA DEL LOG HABER SI DETECTAIS ALGO, PARA VOLVER A HACER LA MISMA OPERACION:

Logfile of HijackThis v1.99.1

Scan saved at 15:33:35, on 06/07/2005

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\ATI2EVXX.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\ATIPTAXX.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARCHIVOS DE PROGRAMA\MSN APPS\UPDATER\01.02.3000.1001\ES\MSNAPPAU.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\WINDOWS\SYSTEM32\INETSRV\SERVICES.EXE

C:\ARCHIVOS DE PROGRAMA\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE

C:\ARCHIVOS DE PROGRAMA\WINZIP\WZQKPICK.EXE

C:\ARCHIVOS DE PROGRAMA\TELEFONICA\KITAIM\AIMMON.EXE

C:\ARCHIVOS DE PROGRAMA\OLYMPUS\CAMEDIA MASTER 4.1\CM_CAMERA.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARCHIVOS DE PROGRAMA\WINRAR\WINRAR.EXE

C:\WINDOWS\TEMP\RAR$EX00.428\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CARCHIVOS%20DE%20PROGRAMA%5CNETSCAPE%5CNETSCAPE%206%5Csearchplugins%5CNetscape_Espanol.src"); (C:\WINDOWS\Application Data\Mozilla\Profiles\default\9m861hcj.slt\prefs.js)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\ARCHIVOS DE PROGRAMA\MSN APPS\MSN TOOLBAR\01.02.4000.1001\ES\MSNTB.DLL (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.ExE

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AgenteADSL_15] C:\ARCHIVOS DE PROGRAMA\TELEFONICA\KITAIM\AimExDll.exe AimGestA.dll 10 run

O4 - HKLM\..\Run: [TrojanScanner] C:\Archivos de programa\Trojan Remover\Trjscan.exe

O4 - HKLM\..\Run: [SuperBar.Component] C:\WINDOWS\system32\inetsrv\services.exe

O4 - HKLM\..\Run: [AdRotator.Application] C:\WINDOWS\system32\drivers\csrss.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe

O4 - HKLM\..\RunServices: [rtvscn95] C:\ARCHIV~1\SYMANT~1\SYMANT~1\rtvscn95.exe

O4 - HKLM\..\RunServices: [defwatch] C:\ARCHIV~1\SYMANT~1\SYMANT~1\defwatch.exe

O4 - Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Startup: CAMEDIA Master.lnk = C:\Archivos de programa\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe

O15 - Trusted Zone: http://*.windupdates.com

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 80.58.61.250,80.58.61.254

GRACIAS¡¡¡¡

Mensaje por **msc hotline sat** » 06 Jun 2005, 16:29

Ante todo recordarle que los virus deben eliminarse antes de postear el log del HJT, pues la eliminacion de claves en este apartado impediría restablecer las que estuvieran modificadas por el virus en otras partes del registro.

El fichero csrss.exe ejecutado desde ...\drivers\csrss.exe es muy sospechoso, ya que el de windows está en c:\windows, y cualquier otro existente en otra parte huele a gusano.

O4 - HKLM\..\Run: [AdRotator.Application] C:\WINDOWS\system32\drivers\csrss.exe

Este podría ser genersdo por el :

http://www.vsantivirus.com/vb-nbo.htm

En cualquier caso, actualiza tu antivirus y mira si te lo detecta y arrancando en modo seguro lo eliminas.

Si no, el csrss.exe de \drivers\, envianoslo a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, para que podamos contestar con el resultado del analisis y en su caso con la herramienta de eliminacion

Luego, si persisten los problemas, posteanos un nuevo HJT

saludos

ms, 6-06-2005

PD y al revisar el Tema por encima, para ver la razon de que pudiere no haberse eliminado totalmente, creo que en la pagina anterior maura63 preguntaba sobre si conocia un proceso MSXCT.EXE sospechoso, que debía haber sido eliminado previamente, si era bicho...

http://search.symantec.com/custom/us/query.html

El eliminarlo solo del HJT piede quedar solo parcialmente eliminado, por ello lo de siempre eliminar antes virus y spywares antes de postear log del HJT!!!

saludos

ms, 6-06-2005

sallanac · Mensaje por **sallanac** » 08 Jun 2005, 20:46

Buenas, sigo sin resolver el problema. Como os comentaba ahora mismo el tema está asi: MENSAJE DE WINDOWS ERROR SERVICE(CON LOS MISMOS SINTOMAS-3 VECES SEGUIDAS CADA 10-15 MINTS). . He pasado el ad-aware y me ha salido lo siguiente: Enigma.spy (Object:HEY_LOCAL_MACHINE:SO) responsible for windows error service program). location: SOFTWARE\MICROSOFT\WINDOWS . Tengo el Symantec antivirus y cuando lo paso no detecta nada. Únicamnete al pasar el ad-aware me detecta el citado problema del enigma.spy.

Por favor haber si me podeis guiar en plan "novato" para eliminar ese enigma spy y el consecuente popup de alerta de windows que aparece. Gracias otra vez¡¡¡

Mensaje por **msc hotline sat** » 09 Jun 2005, 07:11

Pues claro, el Norton es un antivirus, no un antispyware y no le detecta los spywares, igual que el AD_AWARE no le va a detectar los virus !!!

Arranque en modo seguro, deshabilite la restauracion de sistema y lance el AD_AWARE y finalice con FIX PROBLEM y eliminará este spyware

Para arrancar en dicho modo:

https://foros.zonavirus.com/viewtopic.php?t=5266

saludos

ms, 9-06-2005

sallanac · Mensaje por **sallanac** » 14 Jun 2005, 20:39

[quote="msc hotline sat"]Pues claro, el Norton es un antivirus, no un antispyware y no le detecta los spywares, igual que el AD_AWARE no le va a detectar los virus !!!

Arranque en modo seguro, deshabilite la restauracion de sistema y lance el AD_AWARE y finalice con FIX PROBLEM y eliminará este spyware

Para arrancar en dicho modo:

https://foros.zonavirus.com/viewtopic.php?t=5266

saludos

ms, 9-06-2005[/quote]

BUENO ,

PUES CREO QUE POR FIN YA ESTÁ SOLUCIONADO. SEGUÍ ESTAS INDICACIONES Y HACE YA UNOS DIAS QUE TODO VA OK ¡¡¡

GRACIAS POR TODO, SALUDOS

Mensaje por **maura63** » 14 Jun 2005, 20:55

Pues solucionado el tema procedemos a cerrarlo.

Saludos

maura63

MENSAJE DE ERROR WINDOWS SPYWARE (Solucionado)

MENSAJE DE ERROR WINDOWS SPYWARE (Solucionado)

TEMA SOLUCIONADO