ayudaaaaaaaaaa (solucionado)

[albertog]

hola a todos , tengo un troyano llamado 180search assistan, normalmente se borra con todos los programas antispy que tengo

adware, microsoft antispyware y spybot pero al reinicia me vuelven a a parecer. soy nuevo en esto asi que por favor quien pueda ayudarme que me lo explique detaalladamente. muchs gracias de antemano

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

c:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\Archivos de programa\USB Storage RW\shwicon.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ps2.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Java\j2re1.4.2_07\bin\jusched.exe

C:\WINDOWS\System32\poker3.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Media Gateway\MediaGateway.exe

C:\WINDOWS\System32\1eor0ku2.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Ya.com Tarifa Plana\Marcador.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hposol08.exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\unzipped\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Archivos de programa\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded

O4 - HKLM\..\Run: [ccApp] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_07\bin\jusched.exe

O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] poker3.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [yGE1] C:\WINDOWS\udjlicp.exe

O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe

O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

O4 - HKLM\..\Run: [kdqfgpud] C:\WINDOWS\kdqfgpud.exe

O4 - HKLM\..\Run: [1eor0ku2] C:\WINDOWS\System32\1eor0ku2.exe

O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] poker3.exe

O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Archivos de programa\Microsoft AntiSpyware\gcASCleaner.exe

O4 - Global Startup: customize__IE.lnk = C:\hp\region\customizeIe.wsf

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: officejet 6100.lnk = ?

O4 - Global Startup: Picture Package Menu.lnk = C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{CC84F3F0-4063-4DB3-B5AB-FBC093ACA523}: NameServer = 62.151.2.8 62.151.8.100

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

[msc hotline sat]

Antes de tocar nada con el HJT denes eliminar lo que detectes con los antispyware y antivirus:



https://foros.zonavirus.com/viewtopic.php?t=5148



Recuerda que debes arrancar en modo seguro y deshabilitar la restauracion de sistema para ello



Ademñas, prueba especialmente en este modo el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





Y nos informas co,mo respuesta de este Tema, y si conviene, ya te pediremos que postees, tras ello, un nuevo log de HJT, pero completo, que el que has enviado le falta la cabecera, lo cual nos es muy importante para saber sistema, parches y demas



De todas dormas, te adelanto que estas dos es muy importante que si se mantienen tras hacver todo lo indicado, DESPUES DE ELLO, conbiene que las elimines:



R3 - Default URLSearchHook is missing



O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe



la primera por permitir acceso a webs com spywares y la segunda por ser virus, que te ha entrado popsinlemente por falta de parches, y que seguirá entrando si no losactualizas con windowsupdate:



http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.e.worm.html



Para su eliminacion puedes probar el ELITRIIP:



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Y de paso, elimina estas claves:



O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

Unnecessarily The entry Messenger has been identified as safe.

If the entry 'Messenger ' is not needed anymore, it should be fixed.

Unnecessary (deactivated) entry that can be fixed.

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)





y comprueba tras eliminar los spywares, que estas hayan desaparecido, pues es un dialer y compañía:



O16 - DPF: {CDCBE0F1-D13A-4F86-A963-3A272D3ABA7E} (VacPro.internazionale_ver15) - http://advnt01.com/dialer/internazionale_ver15.CAB



O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)



si se mantiene al final, eliminala ta,vien, pero TRAS PASAR ANTES DE ANTISPYWARE !!! (Es que sino no se eliminan otras claves heneradas por los malwares en zonas no mostradas por el HJT, ya que este solo muestra un 1 % del registro de sistema !!!)



saludos



ms, 6-08-2005

[albertog]

pos na he echo lo que me indicasteis y mas o menos sigue igual ademas he notado al escribir que las teclas que pulso en e l teclado no se corresponden con las d ela pantalla como sie stuvieran cambiadas. os envio otra vez lo del hit espero hacerlo bien ahora jejejeej e insisto en que vuestra respuesta me la deis mu detallada porque no tengo ni idea d einformativo

gracias de antemano

Logfile of HijackThis v1.99.1

Scan saved at 15:58:27, on 08/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

c:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\msiexec.exe

C:\windows\system\hpsysdrv.exe

C:\Archivos de programa\USB Storage RW\shwicon.exe

C:\Archivos de programa\VERITAS Software\Update Manager\sgtray.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ps2.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

C:\Archivos de programa\Java\j2re1.4.2_07\bin\jusched.exe

C:\WINDOWS\System32\poker3.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\etb\pokapoka62.exe

C:\WINDOWS\System32\rundll32.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hposol08.exe

C:\Archivos de programa\Ya.com Tarifa Plana\Marcador.exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Propietario\Configuración local\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Archivos de programa\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded

O4 - HKLM\..\Run: [ccApp] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_07\bin\jusched.exe

O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] poker3.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [yGE1] C:\WINDOWS\udjlicp.exe

O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe

O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] poker3.exe

O4 - Global Startup: customize__IE.lnk = C:\hp\region\customizeIe.wsf

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: officejet 6100.lnk = ?

O4 - Global Startup: Picture Package Menu.lnk = C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CC84F3F0-4063-4DB3-B5AB-FBC093ACA523}: NameServer = 62.151.2.8 62.151.8.100

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

[maura63]

Conoces estas aplicaciones, de no se asi elimina, Desactiva la restauracion del sistema, arranca en modo seguro busca en C estas y elimina.







C:\WINDOWS\System32\poker3.exe -

C:\WINDOWS\etb\pokapoka62.exe -



Luego lanza hijackthis pulsa scan, marcas las entradas y FIX.

R3 - Default URLSearchHook is missing -



O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe -

O4 - HKLM\..\Run: [Microsoft Windows DLL Services Configuration] poker3.exe -

O4 - HKLM\..\Run: [yGE1] C:\WINDOWS\udjlicp.exe -

O4 - HKLM\..\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe -

O4 - HKLM\..\RunServices: [Microsoft Windows DLL Services Configuration] poker3.exe -

O4 - Global Startup: customize__IE.lnk = C:\hp\region\customizeIe.wsf -

O4 - Global Startup: officejet 6100.lnk = ? -



Applications\Residence.exe -

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM) -

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM) -

O17 -

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll -





Saludos

maura63

[albertog]

ya ta casi arreglao pero lo que me poniauis d eborrar las entradas del hit.. del 015.... no se me borran me vuelven a salir y el teclado sigue escribiendo lo que quiere como me ayudeis os voy a tener que invitar a cenar jejejej

[msc hotline sat]

Las 015 del PROTOCOL DEFAULTS dejalas para mejor ocasion, pues estamos en ello, y prueba con otro teclado, y nos cuentas el resultado, como resùesta de este Tema, gracias



saludos



ms, 9-08-2005

[albertog]

qu eva sigue con los mismos errores la letra que va entre la n t la o no existe jajajajaj puede ser un virus o troyano dejo otra vez lo del hijacks por si acaso

Logfile of HijackThis v1.99.1

Scan saved at 19:35:38, on 09/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

c:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\windows\system\hpsysdrv.exe

C:\Archivos de programa\USB Storage RW\shwicon.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

C:\Archivos de programa\Java\j2re1.4.2_07\bin\jusched.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\WINDOWS\System32\rundll32.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Ya.com Tarifa Plana\Marcador.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Propietario\Configuración local\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ya.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://empnads.com/servlet/ajrotator/126190/0/viewHTML?zone=enternet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Archivos de programa\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded

O4 - HKLM\..\Run: [ccApp] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_07\bin\jusched.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Picture Package Menu.lnk = C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CC84F3F0-4063-4DB3-B5AB-FBC093ACA523}: NameServer = 62.151.2.8 62.151.8.100

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

[msc hotline sat]

Para los 015 prueba esto:



__________________



solucion manual a la eliminacion de claves 015 protocol defaults: (que se añadirá al ELISTARA)



Seleccionar el contenido del siguiente script y pegarlo en el bloc de notas y guardarlo como ELIPROTO.REG y ejecutarlo y aceptar los cambios:





REGEDIT4



[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL]



[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL]



[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]

@="http://"



[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes]

"ftp"="ftp://"

"gopher"="gopher://"

"home"="http://"

"mosaic"="http://"

"www"="http://"



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]

@=""

"http"=dword:00000003

"https"=dword:00000003

"ftp"=dword:00000003

"file"=dword:00000003

"@ivt"=dword:00000001

"shell"=dword:00000000



[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults]

@=""

"http"=dword:00000003

"https"=dword:00000003

"ftp"=dword:00000003

"file"=dword:00000003

"@ivt"=dword:00000001

"shell"=dword:00000000



___________________



y tras ejecutarlo, en modo seguro lanzas el HJT y eliminas las 015 PROTOCOL DEFAULTS si todavía existen, y nos cuentas si se ha logrado eliminarlas o no !!!



Lo de las teclas si con el cambio de teclado persiste el problema, puedes probar vambiar configuracion de pais, de español de españa a Español latino americano u otro no español, a ver si persiste, pero es que la n y la t no son raras, como la ñ o ç, que pudieran tener diferente grafismo segun configuracion de pais, pero estas otras no !!!



Bueno veamos lo del PROTOCOL DEFAULTS, y arreglemos las cosas paso a paso



Dinos el resultado como respuesta de este Tema, gracias



saludos



ms, 09-08-2005

[albertog]

illo to solucionados tomaros una copa en el bar que pago yo!!!!!!!!!!!!!!!! lo del teclado era que se me cambio la configuracion el de eeuu.

gracias gracias gracias sin vosotros no lo hubiese conseguido

[msc hotline sat]

Pues lo celebramos, y a tu salud !



Y solucionado el problemas, procedemos a cerrar el Tema



saludos



ms, 11-08-2005