-
cmg
- Mensajes: 2
- Registrado: 29 Jun 2005, 13:51
Mensaje
por cmg » 29 Jun 2005, 18:44
Hola, estoy teniendo problemas al navegar por internet, ya que automáticamente se me abre una ventana con la dirección http://540.filost.com/....
He pasado el antivirus Symantec y no detecta nada. He seguido las instrucciones de antispy y he ejecutado, en este orden los siguientes programas
Microsoft AntiSpyware
Ad-Aware SE Personal
Spybot S&D
SpywareBlaster
EliStarA
algunos de ellos han detectado algo. Lo he eliminado y no ha mejorado.
¿Podéis echarme una mano? Os dejo mi log de HijackThis.
Logfile of HijackThis v1.99.1
Scan saved at 18:37:34, on 29/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
C:\ARCHIV~1\AT&TNE~1\NetCfgSv.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\tp4serv.exe
C:\ARCHIV~1\ThinkPad\CONNEC~1\Qctray.exe
C:\ARCHIV~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Archivos de programa\Lexmark 3100 Series\lxbrbmgr.exe
C:\ARCHIV~1\SYMANT~1\VPTray.exe
C:\Archivos de programa\Lexmark 3100 Series\lxbrbmon.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Zone Labs\Integrity Client\iclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Terra\Terra Conexión\TerraCon.exe
C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\DOCUME~1\Carolina\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.terra.es/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Terra Conexión
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {CF1225E2-0BE8-4D21-A5F0-8504DF9BA92D} - C:\WINDOWS\System32\m.dll (file missing)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [QCTRAY] C:\ARCHIV~1\ThinkPad\CONNEC~1\Qctray.exe
O4 - HKLM\..\Run: [TPTRAY] C:\ARCHIV~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [TPHOTKEY] C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Archivos de programa\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Integrity Client.lnk = C:\Archivos de programa\Zone Labs\Integrity Client\iclient.exe
O9 - Extra button: Corel Network monitor worker - {170B0D95-11BE-4866-B5EC-3E8B7AB6B41F} - C:\WINDOWS\System32\intlmain.dll (file missing)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {170B0D95-11BE-4866-B5EC-3E8B7AB6B41F} - C:\WINDOWS\System32\intlmain.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Corel Network monitor worker - {170B0D95-11BE-4866-B5EC-3E8B7AB6B41F} - C:\WINDOWS\System32\intlmain.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {170B0D95-11BE-4866-B5EC-3E8B7AB6B41F} - C:\WINDOWS\System32\intlmain.dll (file missing) (HKCU)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{836085A3-0F7B-4B26-9AA2-C44C55092C7E}: NameServer = 195.235.113.3 195.235.96.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{C04799E0-DAEB-440C-9FB9-3541BB3C3144}: NameServer = 69.50.184.84,195.225.176.37
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\ARCHIV~1\AT&TNE~1\NetCfgSv.EXE
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 29 Jun 2005, 19:12
eliminar estas claves:
O2 - BHO: (no name) - {CF1225E2-0BE8-4D21-A5F0-8504DF9BA92D} - C:\WINDOWS\System32\m.dll (file missing)
O9 - Extra button: Corel Network monitor worker - {170B0D95-11BE-4866-B5EC-3E8B7AB6B41F} - C:\WINDOWS\System32\intlmain.dll (file missing)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {170B0D95-11BE-4866-B5EC-3E8B7AB6B41F} - C:\WINDOWS\System32\intlmain.dll (file missing)
O9 - Extra button: Corel Network monitor worker - {170B0D95-11BE-4866-B5EC-3E8B7AB6B41F} - C:\WINDOWS\System32\intlmain.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {170B0D95-11BE-4866-B5EC-3E8B7AB6B41F} - C:\WINDOWS\System32\intlmain.dll (file missing) (HKCU)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
Analizar y obrar en consecuencia:
O4 - HKLM\..\Run: [TPTRAY] C:\ARCHIV~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Archivos de programa\Lexmark 3100 Series\lxbrbmgr.exe"
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{836085A3-0F7B-4B26-9AA2-C44C55092C7E}: NameServer = 195.235.113.3 195.235.96.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{C04799E0-DAEB-440C-9FB9-3541BB3C3144}: NameServer = 69.50.184.84,195.225.176.37
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
[b]O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\ARCHIV~1\AT&TNE~1\NetCfgSv.EXE [/b]
y si esta ultima clave se decide eliminar, tras reiniciar, borrar tambien este archivo:
C:\ARCHIV~1\AT&TNE~1\NetCfgSv.EXE
saludos
ms, 29-06-2005
-
maura63
- Mensajes: 6865
- Registrado: 09 Mar 2004, 20:42
- Ubicación: Cádiz, ESPAÑA
-
Contactar:
Mensaje
por maura63 » 29 Jun 2005, 19:14
Elimina con hijackthis estas entradas marcas y pulsa FIX y acepta. la que esta en C busca con el buscador y elimina
C:\ARCHIV~1\ATTNE~1\NetCfgSv.EXE -
O2 - BHO: (no name) - {CF1225E2-0BE8-4D21-A5F0-8504DF9BA92D} - C:\WINDOWS\System32\m.dll (file missing) -
O4 - HKLM\..\Run: [TPTRAY] C:\ARCHIV~1\ThinkPad\UTILIT~1\TP98TRAY.EXE -
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe -
O9 - Extra button: Corel Network monitor worker - {170B0D95-11BE-4866-B5EC-3E8B7AB6B41F} - C:\WINDOWS\System32\intlmain.dll (file missing) -
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {170B0D95-11BE-4866-B5EC-3E8B7AB6B41F} - C:\WINDOWS\System32\intlmain.dll (file missing) -
O9 - Extra button: Corel Network monitor worker - {170B0D95-11BE-4866-B5EC-3E8B7AB6B41F} - C:\WINDOWS\System32\intlmain.dll (file missing) (HKCU) -
09 - Extra 'Tools' menuitem: Corel Network monitor worker - {170B0D95-11BE-4866-B5EC-3E8B7AB6B41F} - C:\WINDOWS\System32\intlmain.dll (file missing) (HKCU) -
O15 - Trusted Zone: *.slotchbar.com (HKLM) - Nasty
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab -
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab -
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab -
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab -
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll -
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll -
O23 - Service: Network Configuration Service (NetCfgSvr) - ATT - C:\ARCHIV~1\ATTNE~1\NetCfgSv.EXE -
Saludos
maura63
-
cmg
- Mensajes: 2
- Registrado: 29 Jun 2005, 13:51
Mensaje
por cmg » 29 Jun 2005, 21:57
Muchísimas gracias. Con lo que me habéis dicho he solucionado el problema y ya no se me abre la ventana de filost.
He borrado todas las entradas que me habéis puesto, incluidas las de verificar, así como el fichero C:\ARCHIV~1\AT&TNE~1\NetCfgSv.EXE
Sin embargo la línea que contiene dicho fichero sigue apareciendo en el log de HijackThis.
O23 - Service: Network Configuration Service (NetCfgSvr) - Unknown owner - C:\ARCHIV~1\AT&TNE~1\NetCfgSv.EXE (file missing)
Ese fichero corresponde a una aplicación para la conexión a la intranet de mi empresa, así que si me la he cargado volveré a instalarla y listo.
Os mando el nuevo log para ver si consideráis que el problema está resuelto, aunque por mi parte ya no se reproduce.
Logfile of HijackThis v1.99.1
Scan saved at 21:46:58, on 29/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\tp4serv.exe
C:\ARCHIV~1\ThinkPad\CONNEC~1\Qctray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Archivos de programa\Lexmark 3100 Series\lxbrbmgr.exe
C:\ARCHIV~1\SYMANT~1\VPTray.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\Lexmark 3100 Series\lxbrbmon.exe
C:\Archivos de programa\Zone Labs\Integrity Client\iclient.exe
C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\DOCUME~1\Carolina\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.terra.es/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Terra Conexión
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [QCTRAY] C:\ARCHIV~1\ThinkPad\CONNEC~1\Qctray.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\ARCHIV~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [TPHOTKEY] C:\ARCHIV~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Archivos de programa\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Integrity Client.lnk = C:\Archivos de programa\Zone Labs\Integrity Client\iclient.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\DefWatch.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Network Configuration Service (NetCfgSvr) - Unknown owner - C:\ARCHIV~1\AT&TNE~1\NetCfgSv.EXE (file missing)
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Archivos de programa\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Archivos de programa\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 30 Jun 2005, 08:11
Sobre la úlrima pregunta planteada, su tras eliminar esta clave:
O23 - Service: Network Configuration Service (NetCfgSvr) - Unknown owner - C:\ARCHIV~1\AT&TNE~1\NetCfgSv.EXE (file missing)
cuelve a aparecerm prueba de hacerlo arrancando en modo seguro, y en este modo lanzar el HJT, marcar dicha clave y darle FIX
y nos cuentas como te ido
saludos
ms, 30-06-2005
-
Mons
- Mensajes: 5
- Registrado: 27 Sep 2005, 01:45
Mensaje
por Mons » 27 Sep 2005, 01:55
Hola, estoy teniendo problemas al navegar por internet, ya que automáticamente se me abre una ventana con la dirección http://540.filost.com/....
He pasado el antivirus Symantec y no detecta nada. He seguido las instrucciones de antispy y he ejecutado, en este orden los siguientes programas
Microsoft AntiSpyware
Ad-Aware SE Personal
¿Podéis echarme una mano?
No tengo la menor idea de como hacerlo. He estado leyendo a otros que tenian el mismo problema, pero no entiendo nada de lo que escriben.
Por favor, podeis ayudarme de una forma clara y sencilla. Soy inexperto en esto.
Gracias.
-
Mons
- Mensajes: 5
- Registrado: 27 Sep 2005, 01:45
Mensaje
por Mons » 27 Sep 2005, 02:02
[quote="cmg"]Hola, estoy teniendo problemas al navegar por internet, ya que automáticamente se me abre una ventana con la dirección http://540.filost.com/....
He pasado el antivirus Symantec y no detecta nada. He seguido las instrucciones de antispy y he ejecutado, en este orden los siguientes programas
Microsoft AntiSpyware
Ad-Aware SE Personal
Spybot S&D
¿Podéis echarme una mano? Os dejo mi log de HijackThis.
Logfile of HijackThis v1.99.1
Scan saved at 2:00:34, on 27/09/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\ARCHIV~1\NORTON~1\navapw32.exe
C:\Archivos de programa\Norton Internet Security\IAMAPP.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe
C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\webshots.scr
C:\Archivos de programa\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Norton Internet Security\NISSERV.EXE
C:\Archivos de programa\Norton Internet Security\SymProxySvc.exe
C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Archivos de programa\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Archivos de programa\Netropa\Onscreen Display\OSD.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Angel\Mis documentos\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.es/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.hotmail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.3000.1001\es\msntb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [hpppta] C:\Archivos de programa\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hpppta.exe /ICON
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Archivos de programa\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Descargas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\eurokazaa\local.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_ES_XP.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_ES_XP.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105387694343
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O16 - DPF: {DDF44FD9-749F-4761-89BB-E8A59339E459} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_9_ES_XP.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D103A776-EB0F-40F8-B7C4-7454B5DE69B1}: NameServer = 62.81.0.34 62.81.16.130
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Servicio del iPod (iPodService) - Unknown owner - C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\SymProxySvc.exe
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 27 Sep 2005, 07:53
Como sea que te daltan parches de microsoft en cantidad (solo tienes el SP1, te faltan todos los del SP2 y posteriores), abre el navegador be a Herramientas y pulsa en windowsupdate, que busqye los que te faltan y los instalas.
Sin los parches instalados, volvería a infectarte con el BLASTER, que aparece en dos claves del log del HJT
Acto seguido lanza el ELITRIIP, para eliminar dicho virus:
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
Tras ello abre un nuevo TEMA en este mismo aoartado y posteanos el log de entonces, pues no deben postearse mas de un log por Tema, como ya se indica al principio de dicho apartado
saludos
ms, 27-09-2005
msc hotline sat Virus Research Engineer