Ayuda con este troyano.

[chipeador]

hola compis estoy por aquí de nuevo porque mi ordenata lo tengo con un extraño shearch bar o lo que sea es que me sale en el explorador de internet una barra en la parte de abajo como una especie de buscador en ingles con obciones y tambien a veces se me cierra el mesenger, os pongo un log para que si podeis me ayudais a borrar lo que proceda:



Logfile of HijackThis v1.99.1

Scan saved at 16:10:22, on 06/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\Logitech\Video\LogiTray.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\LVComS.exe

C:\WINDOWS\system32\CTSvcCDA.EXE

C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\ARCHIV~1\SOFTWA~1\soproc.exe

C:\WINDOWS\System32\svchost.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\WINDOWS\system32\MsPMSPSv.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet6_38.dll

O2 - BHO: (no name) - {A771B0B4-C91C-E73C-67E5-FB141663CFAC} - C:\DOCUME~1\Saray\DATOSD~1\WIPE32~1\store size.exe

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [View Bolt Data Else] C:\Documents and Settings\All Users\Datos de programa\holdcloseviewbolt\Media Meal.exe

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SOProc_RegSoAlertAjWxSzNn] rundll32 shell32.dll,ShellExec_RunDLL C:\ARCHIV~1\SOFTWA~1\soproc.exe -pack RegSoAlertAjWxSzNn

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.sharewareonline.com/adserver/Install.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,83/mcinsctl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/es/1,0,0,20/mcgdmgr.cab

O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FB} - http://download.energyfactor.com/plug/dscert_72.exe

O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://download.energyfactor.com/dialer/it/activex_687_it.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{77FAEB18-D7C8-4AF5-A986-04B03CDE586F}: NameServer = 194.179.1.100,194.179.1.101

O17 - HKLM\System\CCS\Services\Tcpip\..\{F8F251B0-99E1-49CC-BA84-6C15714465EE}: NameServer = 194.179.1.100,194.179.1.101

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe



gracias de antemano y he pasado el antivirus y ad-aware...y no me borra este toolbar..

[msc hotline sat]

Antes de tocar nada del log del HJT se deben eliminar los virus y troyanos que se detectan con los antivirus y antispywares, como ya indicamos en:



https://foros.zonavirus.com/viewtopic.php?t=5148





Tiene el NewDotNet en varias claves, como se ve en:



O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Archivos de programa\NewDotNet\newdotnet6_38.dll



Siga los pasos indicados en los tutoriales y tras eliminar todo lo detectado, si persisten las anomalias entonces posteenos nuevo log del HJT, como respuesta de este Tema, indicandonos los problemas



Pruebe antetodo el ELISTARA.EXE:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







saludos



ms, 6-08-2005

[chipeador]

hola de nuevo estoy por aqui, he pasado los antivirus mcafee y

elistara.exe el cual me eliminó algun troyao concretamente encontro uno llamado NEWDONET6_38.dll.vir el cual me decia no poder eliminarlo. Ahora no puedo conectarme con ese pc a internet (lo tengo en red con router y solo entro desde este) me dice que la conexion está limitada y la ip me la cambia sola por lo que no tengo conexion con el router.

Os pongo nuevo log a ver si veis algo:

Logfile of HijackThis v1.99.1

Scan saved at 23:12:02, on 07/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\LVComS.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\CTSvcCDA.EXE

C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Messenger\msmsgs.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ddawvjucsekxyyemlzmp.com/DVCYrKgpbumvm1S7bXiQBm9w9VuxbuVVC0bt/7uKovxJNKs_60zFh4bnTss7i7bt.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {A771B0B4-C91C-E73C-67E5-FB141663CFAC} - C:\DOCUME~1\Saray\DATOSD~1\WIPE32~1\store size.exe

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [View Bolt Data Else] C:\Documents and Settings\All Users\Datos de programa\holdcloseviewbolt\Media Meal.exe

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Corn build] C:\DOCUME~1\Saray\DATOSD~1\ATOMGR~1\defaultflagamok.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\newdotnet\newdotnet6_38.dll' missing

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.sharewareonline.com/adserver/Install.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,83/mcinsctl.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/es/1,0,0,20/mcgdmgr.cab

O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FB} - http://download.energyfactor.com/plug/dscert_72.exe

O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://download.energyfactor.com/dialer/it/activex_687_it.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{F8F251B0-99E1-49CC-BA84-6C15714465EE}: NameServer = 194.179.1.100,194.179.1.101

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

[msc hotline sat]

Elimina estas dos claves y listos:



O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\newdotnet\newdotnet6_38.dll' missing



O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://download.energyfactor.com/dialer/it/activex_687_it.exe



saludos



ms, 8-08-2005

[chipeador]

hola compi, pues una linea si la borré con hj pero esta no me la borra ni a modo fallo ni na, me dice algo de spybot para eliminarlo así que intentaré pasar ese adware, ésta es la linea que no me elimina y por supuesto sigo sin conexion a red por culpa de ese gusan que pone una ip fija que no es la de mi router.

O10 - Broken Internet access because of LSP provider 'c:\archivos de programa\newdotnet\newdotnet6_38.dll' missing

[maura63]

Las entradas 010 no debemos eliminarlas con hijackthis, para ello tendremos que usar este otro programa



http://cexx.org/lspfix.htm



Manual en castellano



http://www.arwinianos.net/biblioteca/articulo/3/5





Saludos

maura63

[maura63]

Y elimina con hijackthis esta que se quedo atras



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ddawvjucsekxyyemlzmp.com/DVCYrKgpbumvm1S7bXiQBm9w9VuxbuVVC0bt/7uKovxJNKs_60zFh4bnTss7i7bt.html



Saludos

maura63

[msc hotline sat]

Cierto, partía de la base que se había hecho caso a lo indicado al principio de este apartado:



https://foros.zonavirus.com/viewtopic.php?t=5148



y ya con el SPYBOT mismo, en modo seguro, se hubiera corregido esta entrada 010.



En cualquier caso, eso demuestra que se ha de hacer caso a las premisas indicadas !!!



Y curiosamente la R1 indicada recientemente que debe eliminarse, no aparecía en el HJT anterior. Quizas es una nueva adquisicion :lol: :lol: :lol:



saludos



ms, 9-08-2005

[chipeador]

Hola.

Despues de borrar con hjk la entrada :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

Efectivamente ya por fin y gracias a vuestra tan apreciable ayuda puedo restablecer la conexion a internet desde el "PC" afectado pero tengo una última consulta y es que cuando entro en internet por ejemp. en google me sigue saliendo una barra de busqueda en ingles en la parte de abajo del navegador que tiene varias ventanas shearch, y si podeis ver en el último log la entrada de ese buscador intruso os lo agradeceré infinitamente.

Gracias y un saludo cordial a todos......................

[maura63]

Peganos un nuevo log de hijackthis, pero ojo... no tengas ningun otro programa abierto.



Saludos

maura63

[msc hotline sat]

Y fijate que esto te entró entre los dias 6 y 7, pues no lo tenias en el primer HJT y sí en el segundo, por ello si vuelves a entrar en la web que entraste entre los dos HJT, volveras a generar esta clave. Mira de recordar lo que hiciste y evita caer dos veces en el mismo sitio :lol: :lol: :lol:



saludos



ms, 9-08-2005

[chipeador]

hola, aquí os pego nuevo log, y decirles otro detalle que me pasa y es que me cierra el messenger cuando le parece y no se si es por el mismo problema, pero ese dichoso buscador en la parte inferior no lo puedo eliminar aunque si que se cierra con x como cualquier ventana:



Logfile of HijackThis v1.99.1

Scan saved at 22:00:18, on 09/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\LVComS.exe

C:\WINDOWS\system32\CTSvcCDA.EXE

C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\WINDOWS\System32\svchost.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\MsPMSPSv.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {A771B0B4-C91C-E73C-67E5-FB141663CFAC} - C:\DOCUME~1\Saray\DATOSD~1\WIPE32~1\store size.exe

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [View Bolt Data Else] C:\Documents and Settings\All Users\Datos de programa\holdcloseviewbolt\Media Meal.exe

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Corn build] C:\DOCUME~1\Saray\DATOSD~1\ATOMGR~1\defaultflagamok.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.sharewareonline.com/adserver/Install.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/es/4,0,0,83/mcinsctl.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/es/1,0,0,20/mcgdmgr.cab

O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FB} - http://download.energyfactor.com/plug/dscert_72.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{F8F251B0-99E1-49CC-BA84-6C15714465EE}: NameServer = 194.179.1.100,194.179.1.101

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe



Saludos...........

[chipeador]

Disculpen aporto otro detalle, éstas dos lineas que yo no he tocado pero el software sin espias no lo tengo instalado solo tengo el ad-aware y antivirus mcafee y ese no lo tengo porque no consegui instalarlo, aqui las pongo por si valen de algo:

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

Repito que no las toco sin que me digais.





saludos..



chipeador"""

[msc hotline sat]

Puedes eliminarlas tambien, especialmente si no las has instalado tu.



Corresponden a un antispuware poco fiable, pues instala spywares, asi que fuera.



Aparte, del analisis del ultimo HJT,



Vea si conoce estas:



O2 - BHO: (no name) - {A771B0B4-C91C-E73C-67E5-FB141663CFAC} - C:\DOCUME~1\Saray\DATOSD~1\WIPE32~1\store size.exe



O4 - HKLM\..\Run: [View Bolt Data Else] C:\Documents and Settings\All Users\Datos de programa\holdcloseviewbolt\Media Meal.exe



O4 - HKCU\..\Run: [Corn build] C:\DOCUME~1\Saray\DATOSD~1\ATOMGR~1\defaultflagamok.exe













y si no las conoce, eliminelas, como estas:



O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} (CInstall Class) - http://adserver.sharewareonline.com/adserver/Install.cab



O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FB} - http://download.energyfactor.com/plug/dscert_72.exe





y copmo que estas no se dejaran eliminar,





O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)



O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)



O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)



O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)



O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)







primero pruebe de hacer lo siguiente







solucion manual a la eliminacion de claves 015 protocol defaults: (que se añadirá al ELISTARA)



Seleccionar el contenido del siguiente script entre lineas, y copiarlo y pegarlo en el bloc de notas y guardarlo como ELIPROTO.REG y ejecutarlo y aceptar los cambios:



___________________







REGEDIT4



[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL]



[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL]



[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]

@="http://"



[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes]

"ftp"="ftp://"

"gopher"="gopher://"

"home"="http://"

"mosaic"="http://"

"www"="http://"



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]

@=""

"http"=dword:00000003

"https"=dword:00000003

"ftp"=dword:00000003

"file"=dword:00000003

"@ivt"=dword:00000001

"shell"=dword:00000000



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]

@=""

"http"=dword:00000003

"https"=dword:00000003

"ftp"=dword:00000003

"file"=dword:00000003

"@ivt"=dword:00000001

"shell"=dword:00000000





__________________



y mira si asi se dejan borrar.





Dinos si tras ello persisten o no los problemas, gracias



saludos



ms, 10-08-2005