Virus "ONLY THE BEST"

ChicaPunky · Mensaje por **ChicaPunky** » 24 Ago 2005, 13:47

He encontrado esta página por el google y me ha gustado mucho :).

Tengo varios problemas en mi ordeandor pero de momento el más importante es el siguiente, haber si podeis ayudarme, desde hace un tiempo tengo un virus, me solan constantemente ventanas del internet explorer con anuncios, y siempre pone " ONLY THE BEST" ; el problema principal (aparte de las molestas ventanas) es que el ordenador se me queda atascado constantemente, me funciona lentísimo etc.... constantemente tengo que resetear.... bufff

No sé si habrá un parche para este virus o qué debo hacer... ayudarme !!

Gracias adelantadas !!

Mensaje por **msc hotline sat** » 24 Ago 2005, 13:53

Bajar :

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

saludos

ms, 24-08-2005

ChicaPunky · Mensaje por **ChicaPunky** » 24 Ago 2005, 15:11

Muchísimas gracias por contestar e interesarte :) ahí te dejo lo que me ha salido, fijo que tengo un montón de movidas pq aparte del virus también tengo otros fallos q ya te consultaré, gracias !!

Logfile of HijackThis v1.99.1

Scan saved at 15:09:53, on 24/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\WINDOWS\ieso.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\eMule\emule.exe

C:\WINDOWS\system32\netwe32.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Usuario\Escritorio\HijackThis.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\Archivos de programa\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hussf.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hussf.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hussf.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hussf.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hussf.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hussf.dll/sp.html#10001

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hussf.dll/sp.html#10001

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F3 - REG:win.ini: load=C:\Archivos de programa\LiKiZM\kevin2.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Class - {FD0032E2-4909-07B6-7FFA-82661DC42DE1} - C:\WINDOWS\system32\javabg32.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\system32\Launcher.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Registry Compact] "C:\Archivos de programa\Systerac XP Tools 3\regcomp.exe" /Auto

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [ieso.exe] C:\WINDOWS\ieso.exe

O4 - HKLM\..\RunOnce: [sysxy.exe] C:\WINDOWS\system32\sysxy.exe

O4 - HKLM\..\RunOnce: [atlba.exe] C:\WINDOWS\atlba.exe

O4 - HKLM\..\RunOnce: [d3id.exe] C:\WINDOWS\system32\d3id.exe

O4 - HKLM\..\RunOnce: [d3qf.exe] C:\WINDOWS\system32\d3qf.exe

O4 - HKLM\..\RunOnce: [addwq.exe] C:\WINDOWS\addwq.exe

O4 - HKLM\..\RunOnce: [crjc32.exe] C:\WINDOWS\crjc32.exe

O4 - HKLM\..\RunOnce: [netwe32.exe] C:\WINDOWS\system32\netwe32.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Free Notes] "C:\Archivos de programa\Power Soft\Free Notes\FreeNotes.exe"

O4 - HKCU\..\RunServices: [Ms Configuration] microsoftsa32.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_01) -

O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -

O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} - http://runonce.msn.com/setacceptlang.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE2B784-0789-4027-B2A9-DB0B9544E4C9}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sysxy.exe

Mensaje por **flacoroo** » 24 Ago 2005, 15:48

bajate este programa el Spybot, lo actualizas y lo corres y borras todo lo que te salga.....de preferencia lo haces poniendo tu computadora en modo seguro....

http://www.zonavirus.com/descargas/spybot-sd.asp

tambien actualiza tu antivirus y lo corres en ese modo....

nos dices como te fue......

Mensaje por **msc hotline sat** » 24 Ago 2005, 16:57

Como que no sé si el ONLY THE BEST es eliminado totalmente con el SPYBOT, ya que siempre lo he visto eliminar manualmente, he preferido seguir haciendolo asi, aunque pudiera ser que segun lo que indica flacoroo pudiera hacerse tambien.

En este caso, debe procederse a quitar las siguientes claves, lanzando el HJT, y marcandolas y eliminandolas con FIX:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hussf.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hussf.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hussf.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hussf.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hussf.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hussf.dll/sp.html#10001

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hussf.dll/sp.html#10001

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [ieso.exe] C:\WINDOWS\ieso.exe

O4 - HKLM\..\RunOnce: [sysxy.exe] C:\WINDOWS\system32\sysxy.exe

O4 - HKLM\..\RunOnce: [atlba.exe] C:\WINDOWS\atlba.exe

O4 - HKLM\..\RunOnce: [d3id.exe] C:\WINDOWS\system32\d3id.exe

O4 - HKLM\..\RunOnce: [d3qf.exe] C:\WINDOWS\system32\d3qf.exe

O4 - HKLM\..\RunOnce: [addwq.exe] C:\WINDOWS\addwq.exe

O4 - HKLM\..\RunOnce: [crjc32.exe] C:\WINDOWS\crjc32.exe

O4 - HKLM\..\RunOnce: [netwe32.exe] C:\WINDOWS\system32\netwe32.exe

Vea si con ello es suficiente, pues hay algunas claves desconocidas que podrian ser tambien eliminables, pero probemos con estas, y nos indica si, tras reiniciar, se han terminado los problemas, y si no, nos postea un nuevo log de HJT, como respuesta de este Tema

saludos

ms, 24-08-2005

Mensaje por **maura63** » 24 Ago 2005, 17:01

Elimina tambien estas y comprueba si en agregar o quitar programas tienes algo instalado sospechoso.

C:\WINDOWS\ieso.exe

C:\WINDOWS\system32\netwe32.exe

Esta con hijackthis

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sysxy.exe

Saludos

maura63

Mensaje por **msc hotline sat** » 24 Ago 2005, 20:29

Bueno, realmente tras eliminar las claves y reiniciar, se deben eliminar todos los ficheros a los que llamaban las claves 04 eliminadas:

O4 - HKLM\..\Run: [ieso.exe] C:\WINDOWS\ieso.exe

O4 - HKLM\..\RunOnce: [sysxy.exe] C:\WINDOWS\system32\sysxy.exe

O4 - HKLM\..\RunOnce: [atlba.exe] C:\WINDOWS\atlba.exe

O4 - HKLM\..\RunOnce: [d3id.exe] C:\WINDOWS\system32\d3id.exe

O4 - HKLM\..\RunOnce: [d3qf.exe] C:\WINDOWS\system32\d3qf.exe

O4 - HKLM\..\RunOnce: [addwq.exe] C:\WINDOWS\addwq.exe

O4 - HKLM\..\RunOnce: [crjc32.exe] C:\WINDOWS\crjc32.exe

O4 - HKLM\..\RunOnce: [netwe32.exe] C:\WINDOWS\system32\netwe32.exe

pero al no existir las claves ta no seran ejecutados automaticamente, pero conviene eliminarlos, claro

saludos

ms, 24-08-2005

ChicaPunky · Mensaje por **ChicaPunky** » 25 Ago 2005, 12:48

----- VEAMOS........ ELIMINÉ LO QUE ME DIJISTEIS; A EXCEPCIÓN DEL ARCHIVO:

C:\WINDOWS\system32\netwe32.exe

QUE AL INTENTAR ELIMINARLO ME DA ERROR :? .

----- Y BUENO DE MOMENTO NO ME SALEN LAS VENTANAS DE ERROR, (QUIZÁS PORQUE HE INSTALADO UN PROGRAMA PARA EVITAR LAS VENTANAS EMERGENTES) PERO AÚN ASÍ ME SALEN MENSAJES EN INGÉS DE QUE MI ORDENADOR ESTÁ INFECTADO, Y SON MENSAJES DEL VIRUS FIJO, ADEMÁS EN PROGRAMAS TENGO INSTALADOS DOS PROGRAMAS SOSPECHOSOS:

---> Shearch Extender (Con el icono del messenger)

---> Shopping Extender

---- Y QUE NO HE PODIDO ELIMINAR CLARO...

---- OTRO PROBLEMA QUE TENGO EN MI ORDENADOR (QUE CREO QUE NO ES UN VIRUS, SINO UN PROBLEMA DEL PROPIO SISTEMA) ESQUE AL INICIAR WINDOWS, ME SALEN LAS SIGUIENTES VENTANAS DE ERROR:

- Windows no puede encontrar el archivo C:/Archivos . Asegúrese que la ruta y el nombre de archivo están escritos corrrectamente y vuelva a intentarlo. Para buscar un archivo haga click en el botón inicio y luego en buscar.

- No se puede cargar ni ejecutar C:/ Archivos en el Registro. Asegúrese de que el archivo existe en el equipo o quita del registro toda referencia al mismo.

- Windows no puede encontrar el archivo " de ". Asegúrese de que la ruta y el nombre de archivo están escritos correctamente y vuelva a intentarlo.

- No se puede cargar ni ejecutar " de " especificado en el Registro. Asegúrese que la ruta y el nombre de archivo están escritos corrrectamente y vuelva a intentarlo. Para buscar un archivo haga click en el botón inicio y luego en buscar.

- Windows no puede encontrar el archivo programa/LikiZM/kevin.exe. Asegúres de que la ruta y el nombre de archivo están escritos correctamente y vuelva a intentarlo.

- No se puede cargar ni ejecutar "programa/Likiz" especificado en el Registro. Asegúrese que la ruta y el nombre de archivo están escritos corrrectamente y vuelva a intentarlo. Para buscar un archivo haga click en el botón inicio y luego en

buscar.

----- SÉ QUE PODRÍA FORMATEAR PERO ESQUE AHORA MISMO ME RESULÑTA MUY DIFÍCIL PORQUE TENGO MUCHÍSIMAS COSAS NECESARIAS EN EL ORDENADOR QUE DE MOMENTO NO PUEDO BORRAR....

----- BUENO AQUÍ DEJO EL " TESTAMENTO " 8) MUCHÍSIMAS GRACIAS POR LA ATENCIÓN... ESPERO QUE PODÁIS AYUDARME.

Logfile of HijackThis v1.99.1

Scan saved at 12:46:02, on 25/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\atlyk32.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\locjp.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\locjp.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\locjp.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\locjp.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\locjp.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\locjp.dll/sp.html#10001

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\locjp.dll/sp.html#10001

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F3 - REG:win.ini: load=C:\Archivos de programa\LiKiZM\kevin2.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Class - {CE7F324C-E742-BF9B-37E5-A16FD8856B2C} - C:\WINDOWS\system32\atldu32.dll

O2 - BHO: Class - {FAA3AE33-E236-9AAE-0086-426033A4531F} - C:\WINDOWS\system32\mfchw.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\system32\Launcher.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Registry Compact] "C:\Archivos de programa\Systerac XP Tools 3\regcomp.exe" /Auto

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [BitPump] "C:\Archivos de programa\AnalogX\BitPump\bitpump.exe" /VerifySettings

O4 - HKLM\..\Run: [atlyk32.exe] C:\WINDOWS\atlyk32.exe

O4 - HKLM\..\RunOnce: [javaai.exe] C:\WINDOWS\javaai.exe

O4 - HKLM\..\RunOnce: [addti.exe] C:\WINDOWS\system32\addti.exe

O4 - HKLM\..\RunOnce: [netwe32.exe] C:\WINDOWS\system32\netwe32.exe

O4 - HKLM\..\RunOnce: [mfclb.exe] C:\WINDOWS\system32\mfclb.exe

O4 - HKLM\..\RunOnce: [sysyv32.exe] C:\WINDOWS\sysyv32.exe

O4 - HKLM\..\RunOnce: [netgy32.exe] C:\WINDOWS\system32\netgy32.exe

O4 - HKLM\..\RunOnce: [netct32.exe] C:\WINDOWS\system32\netct32.exe

O4 - HKLM\..\RunOnce: [msjp.exe] C:\WINDOWS\msjp.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Free Notes] "C:\Archivos de programa\Power Soft\Free Notes\FreeNotes.exe"

O4 - HKCU\..\RunServices: [Ms Configuration] microsoftsa32.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with BitPump - C:\Archivos de programa\AnalogX\BitPump\ieint.htm

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_01) -

O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -

O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} - http://runonce.msn.com/setacceptlang.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE2B784-0789-4027-B2A9-DB0B9544E4C9}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netwe32.exe

Mensaje por **maura63** » 25 Ago 2005, 12:57

No tienes antivirus residente que es primordial.

Antivirus On-line:

· Computer Associates

https://www.virustotal.com/es/

Pasa el antivirus online y dinos si detecta algo.

Elimina

C:\WINDOWS\system32\netwe32.exe -

C:\WINDOWS\atlyk32.exe -

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\locjp.dll/sp.html#10001 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\locjp.dll/sp.html#10001 -

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\locjp.dll/sp.html#10001 -

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\locjp.dll/sp.html#10001 -

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\locjp.dll/sp.html#10001 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\locjp.dll/sp.html#10001 -

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\locjp.dll/sp.html#10001 -

R3 - Default URLSearchHook is missing -

F3 - REG:win.ini: load=C:\Archivos de programa\LiKiZM\kevin2.exe -

O2 - BHO: Class - {CE7F324C-E742-BF9B-37E5-A16FD8856B2C} - C:\WINDOWS\system32\atldu32.dll -

O2 - BHO: Class - {FAA3AE33-E236-9AAE-0086-426033A4531F} - C:\WINDOWS\system32\mfchw.dll -

O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\system32\Launcher.exe -

O4 - HKLM\..\Run: [Registry Compact] "C:\Archivos de programa\Systerac XP Tools 3\regcomp.exe" /Auto -

O4 - HKLM\..\Run: [BitPump] "C:\Archivos de programa\AnalogX\BitPump\bitpump.exe" /VerifySettings -

O4 - HKLM\..\Run: [atlyk32.exe] C:\WINDOWS\atlyk32.exe -

O4 - HKLM\..\RunOnce: [javaai.exe] C:\WINDOWS\javaai.exe -

O4 - HKLM\..\RunOnce: [addti.exe] C:\WINDOWS\system32\addti.exe -

O4 - HKLM\..\RunOnce: [netwe32.exe] C:\WINDOWS\system32\netwe32.exe -

O4 - HKLM\..\RunOnce: [mfclb.exe] C:\WINDOWS\system32\mfclb.exe -

O4 - HKLM\..\RunOnce: [netgy32.exe] C:\WINDOWS\system32\netgy32.exe -

O4 - HKLM\..\RunOnce: [netct32.exe] C:\WINDOWS\system32\netct32.exe -

O4 - HKLM\..\RunOnce: [msjp.exe] C:\WINDOWS\msjp.exe -

O4 - HKCU\..\Run: [Free Notes] "C:\Archivos de programa\Power Soft\Free Notes\FreeNotes.exe" -

O4 - HKCU\..\RunServices: [Ms Configuration] microsoftsa32.exe -

O8 - Extra context menu item: Open with BitPump - C:\Archivos de programa\AnalogX\BitPump\ieint.htm -

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL -

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netwe32.exe - Unknown

Comprueba que se muestren archivos ocultos incluso los del sistema.

Saludos

maura63

Mensaje por **msc hotline sat** » 25 Ago 2005, 13:57

Como que tenemos otro Tema con el mismo bicho, que se resiste igualmente pero que está casi controlado, sugiero le deis un vistazo para que se tengan en cuenta las experiencias al respecto:

https://foros.zonavirus.com/viewtopic.php?t=8161&highlight=satinfo

Este troyano genera nuevas copias de si mismo en cada arrancada, creando dos hilos de servicios, que se van regenerando, de forma que muerto el uno, el otro lo revive y asi reciprocamente.

Para eliminarse se ha de arrancar en modo seguro, lanzar el HJT y postearlou sin apagar el equipo eliminar las claves que llaman a este malware y eliminar los ficheros a los que llaman estas claves, pues si no se irña regenerando con otros ficheros creados en cada arranque.

Como que maura63 sabe de lo que le hablo, dejo en sus manos este Tema y yo me dedico al otro, pero tengamos presente las experiencias de ambos casos para el buen fin de los mismos.

Iguial que en el otro caso, se pide al usuario afectado de este Tema, qie antes de eliminarlos nos envie copia de los ficheros en cuestion a zonavirus@satinfo.es anexado a un mail en cuyo texto indique como referencia REF MSJP y tras anexarlos al mail, los elimine:

C:\WINDOWS\atlyk32.exe -

C:\WINDOWS\javaai.exe -

C:\WINDOWS\system32\addti.exe -

C:\WINDOWS\system32\netwe32.exe -

C:\WINDOWS\system32\mfclb.exe -

C:\WINDOWS\system32\netgy32.exe -

C:\WINDOWS\system32\netct32.exe -

C:\WINDOWS\msjp.exe -

Es el ONLY THE BEST, que no es una minucia...

saludos

ms, 25-08-2005

ChicaPunky · Mensaje por **ChicaPunky** » 25 Ago 2005, 14:21

ESTE ES EL RESULTADO DEL " CHEQUEO " :

(CREO QUE TENGO ALGÚN QUE OTRO ARCHIVO INFECTADO... :o ) SUGERENCIAS..... :(

Resultados de la exploración 30658 files scanned. 1071 viruses were detected.

Archivo Infección Estado Ruta

addab.exe Win32.Winshow.FD infected C:\WINDOWS\

addah32.exe Win32.Winshow.FE infected C:\WINDOWS\

addch32.exe Win32.Winshow.FD infected C:\WINDOWS\

adddi32.exe Win32.Winshow.FD infected C:\WINDOWS\

adddu32.exe Win32.Winshow.FD infected C:\WINDOWS\

adddv.exe Win32.Winshow.FE infected C:\WINDOWS\

addfa32.exe Win32.Winshow.FE infected C:\WINDOWS\

addfd32.exe Win32.Winshow.FD infected C:\WINDOWS\

addfr32.exe Win32.Winshow.FE infected C:\WINDOWS\

addgg32.exe Win32.Winshow.FB infected C:\WINDOWS\

addgn32.exe Win32.Winshow.FB infected C:\WINDOWS\

addhd32.exe Win32.Winshow.FD infected C:\WINDOWS\

addhh.exe Win32.Winshow.FD infected C:\WINDOWS\

addil.exe Win32.Winshow.FD infected C:\WINDOWS\

addlm32.exe Win32.Winshow.FD infected C:\WINDOWS\

addmh.exe Win32.Winshow.FD infected C:\WINDOWS\

addmk32.exe Win32.Winshow.FD infected C:\WINDOWS\

addpf32.exe Win32.Winshow.FD infected C:\WINDOWS\

addqc32.exe Win32.Winshow.FD infected C:\WINDOWS\

addqg32.exe Win32.Winshow.FD infected C:\WINDOWS\

addsa32.exe Win32.Winshow.FD infected C:\WINDOWS\

addtg32.exe Win32.Winshow.FD infected C:\WINDOWS\

adduc.exe Win32.Winshow.FD infected C:\WINDOWS\

adduh.exe Win32.Winshow.FD infected C:\WINDOWS\

addvt.exe Win32.Winshow.FD infected C:\WINDOWS\

addvx32.exe Win32.Winshow.FE infected C:\WINDOWS\

addxp.exe Win32.Winshow.FD infected C:\WINDOWS\

addzd32.exe Win32.Winshow.FD infected C:\WINDOWS\

addzi32.exe Win32.Winshow.FD infected C:\WINDOWS\

apibk32.exe Win32.Winshow.FE infected C:\WINDOWS\

apibp.exe Win32.Winshow.FD infected C:\WINDOWS\

apibu32.exe Win32.Winshow.FD infected C:\WINDOWS\

apicc32.exe Win32.Winshow.FE infected C:\WINDOWS\

apics.exe Win32.Winshow.FB infected C:\WINDOWS\

apidt32.exe Win32.Winshow.FB infected C:\WINDOWS\

apiee32.exe Win32.Winshow.FD infected C:\WINDOWS\

apiem.exe Win32.Winshow.FD infected C:\WINDOWS\

apiet32.exe Win32.Winshow.FD infected C:\WINDOWS\

apiev.exe Win32.Winshow.FD infected C:\WINDOWS\

apifo.exe Win32.Winshow.FD infected C:\WINDOWS\

apift.exe Win32.Winshow.FD infected C:\WINDOWS\

apiht.exe Win32.Winshow.FD infected C:\WINDOWS\

apihu.exe Win32.Winshow.FE infected C:\WINDOWS\

apihw32.exe Win32.Winshow.FD infected C:\WINDOWS\

apiji32.exe Win32.Winshow.FD infected C:\WINDOWS\

apijv.exe Win32.Winshow.FD infected C:\WINDOWS\

apikh32.exe Win32.Winshow.FE infected C:\WINDOWS\

apinh32.exe Win32.Winshow.FD infected C:\WINDOWS\

apinx.exe Win32.Winshow.FD infected C:\WINDOWS\

apipg32.exe Win32.Winshow.FD infected C:\WINDOWS\

apips.exe Win32.Winshow.FD infected C:\WINDOWS\

apiqm32.exe Win32.Winshow.FD infected C:\WINDOWS\

apiqx32.exe Win32.Winshow.FD infected C:\WINDOWS\

apirl32.exe Win32.Winshow.FD infected C:\WINDOWS\

apirr32.exe Win32.Winshow.FD infected C:\WINDOWS\

apitc32.exe Win32.Winshow.FD infected C:\WINDOWS\

apiua.exe Win32.Winshow.FD infected C:\WINDOWS\

apiui.exe Win32.Winshow.FD infected C:\WINDOWS\

apive32.exe Win32.Winshow.FD infected C:\WINDOWS\

apivj32.exe Win32.Winshow.FD infected C:\WINDOWS\

apivw32.exe Win32.Winshow.FD infected C:\WINDOWS\

apixh32.exe Win32.Winshow.FE infected C:\WINDOWS\

apixz.exe Win32.Winshow.FD infected C:\WINDOWS\

apiym.exe Win32.Winshow.FD infected C:\WINDOWS\

apize32.exe Win32.Winshow.FD infected C:\WINDOWS\

apizg.exe Win32.Winshow.FD infected C:\WINDOWS\

appar32.exe Win32.Winshow.FB infected C:\WINDOWS\

appav.exe Win32.Winshow.FE infected C:\WINDOWS\

appcu32.exe Win32.Winshow.FD infected C:\WINDOWS\

appdt32.exe Win32.Winshow.FE infected C:\WINDOWS\

appij32.exe Win32.Winshow.FE infected C:\WINDOWS\

appjb32.exe Win32.Winshow.FD infected C:\WINDOWS\

appjw32.exe Win32.Winshow.FE infected C:\WINDOWS\

appku.exe Win32.Winshow.FB infected C:\WINDOWS\

appld.exe Win32.Winshow.FE infected C:\WINDOWS\

appmt.exe Win32.Winshow.FD infected C:\WINDOWS\

appnh.exe Win32.Winshow.FE infected C:\WINDOWS\

appog32.exe Win32.Winshow.FD infected C:\WINDOWS\

appok32.exe Win32.Winshow.FD infected C:\WINDOWS\

appom.exe Win32.Winshow.FD infected C:\WINDOWS\

apppv32.exe Win32.Winshow.FD infected C:\WINDOWS\

apprq.exe Win32.Winshow.FD infected C:\WINDOWS\

appsy32.exe Win32.Winshow.FD infected C:\WINDOWS\

appto32.exe Win32.Winshow.FE infected C:\WINDOWS\

appts32.exe Win32.Winshow.FE infected C:\WINDOWS\

appvg.exe Win32.Winshow.FE infected C:\WINDOWS\

appvn.exe Win32.Winshow.FE infected C:\WINDOWS\

appvp32.exe Win32.Winshow.FD infected C:\WINDOWS\

appwg32.exe Win32.Winshow.FD infected C:\WINDOWS\

appws.exe Win32.Winshow.FD infected C:\WINDOWS\

appwt.exe Win32.Winshow.FD infected C:\WINDOWS\

appzj.exe Win32.Winshow.FD infected C:\WINDOWS\

appzo.exe Win32.Winshow.FE infected C:\WINDOWS\

atlaj32.exe Win32.Winshow.FE infected C:\WINDOWS\

atlam.exe Win32.Winshow.FD infected C:\WINDOWS\

atlap.exe Win32.Winshow.FD infected C:\WINDOWS\

atlba.exe Win32.Winshow.FD infected C:\WINDOWS\

atlce32.exe Win32.Winshow.FE infected C:\WINDOWS\

atlcw32.exe Win32.Winshow.FD infected C:\WINDOWS\

atlfa.exe Win32.Winshow.FD infected C:\WINDOWS\

atlfr.exe Win32.Winshow.FD infected C:\WINDOWS\

atlgb.exe Win32.Winshow.FE infected C:\WINDOWS\

atlgc.exe Win32.Winshow.FD infected C:\WINDOWS\

atlhg32.exe Win32.Winshow.FD infected C:\WINDOWS\

atliu32.exe Win32.Winshow.FE infected C:\WINDOWS\

atljm.exe Win32.Winshow.FD infected C:\WINDOWS\

atllf.exe Win32.Winshow.FE infected C:\WINDOWS\

atlma32.exe Win32.Winshow.FD infected C:\WINDOWS\

atlml.exe Win32.Winshow.FD infected C:\WINDOWS\

atlnn32.exe Win32.Winshow.FD infected C:\WINDOWS\

atloc.exe Win32.Winshow.FD infected C:\WINDOWS\

atlqe32.exe Win32.Winshow.FD infected C:\WINDOWS\

atlqk32.exe Win32.Winshow.FB infected C:\WINDOWS\

atlqy.exe Win32.Winshow.FD infected C:\WINDOWS\

atlqz32.exe Win32.Winshow.FD infected C:\WINDOWS\

atlrz32.exe Win32.Winshow.FE infected C:\WINDOWS\

atlse.exe Win32.Winshow.FD infected C:\WINDOWS\

atlsg.exe Win32.Winshow.FD infected C:\WINDOWS\

atlsy32.exe Win32.Winshow.FE infected C:\WINDOWS\

atlsz32.exe Win32.Winshow.FD infected C:\WINDOWS\

atltc32.exe Win32.Winshow.FD infected C:\WINDOWS\

atltp.exe Win32.Winshow.FD infected C:\WINDOWS\

atltu32.exe Win32.Winshow.FD infected C:\WINDOWS\

atltx.exe Win32.Winshow.FD infected C:\WINDOWS\

atlur32.exe Win32.Winshow.FD infected C:\WINDOWS\

atlvm.exe Win32.Winshow.FD infected C:\WINDOWS\

atlvx.exe Win32.Winshow.FD infected C:\WINDOWS\

atlxw32.exe Win32.Winshow.FB infected C:\WINDOWS\

atlxy.exe Win32.Winshow.FE infected C:\WINDOWS\

atlxz32.exe Win32.Winshow.FD infected C:\WINDOWS\

atlym32.exe Win32.Winshow.FE infected C:\WINDOWS\

atlyr32.exe Win32.Winshow.FD infected C:\WINDOWS\

atlzd.exe Win32.Winshow.FD infected C:\WINDOWS\

atlzl32.exe Win32.Winshow.FD infected C:\WINDOWS\

craw.exe Win32.Winshow.FE infected C:\WINDOWS\

crba32.exe Win32.Winshow.FE infected C:\WINDOWS\

crbq32.exe Win32.Winshow.FE infected C:\WINDOWS\

crcx.exe Win32.Winshow.FD infected C:\WINDOWS\

crdm.exe Win32.Winshow.FD infected C:\WINDOWS\

crel32.exe Win32.Winshow.FE infected C:\WINDOWS\

crex32.exe Win32.Winshow.FD infected C:\WINDOWS\

crgd.exe Win32.Winshow.FD infected C:\WINDOWS\

crhf.exe Win32.Winshow.FE infected C:\WINDOWS\

crhj32.exe Win32.Winshow.FD infected C:\WINDOWS\

crin32.exe Win32.Winshow.FD infected C:\WINDOWS\

crjc32.exe Win32.Winshow.FD infected C:\WINDOWS\

crjf.exe Win32.Winshow.FD infected C:\WINDOWS\

crjy.exe Win32.Winshow.FE infected C:\WINDOWS\

crkm32.exe Win32.Winshow.FD infected C:\WINDOWS\

crlg32.exe Win32.Winshow.FD infected C:\WINDOWS\

crlj.exe Win32.Winshow.FD infected C:\WINDOWS\

crlo.exe Win32.Winshow.FD infected C:\WINDOWS\

crmf.exe Win32.Winshow.FD infected C:\WINDOWS\

crmz.exe Win32.Winshow.FD infected C:\WINDOWS\

crnd.exe Win32.Winshow.FB infected C:\WINDOWS\

crob.exe Win32.Winshow.FD infected C:\WINDOWS\

crob32.exe Win32.Winshow.FE infected C:\WINDOWS\

croz.exe Win32.Winshow.FD infected C:\WINDOWS\

crpa.exe Win32.Winshow.FE infected C:\WINDOWS\

crpi.exe Win32.Winshow.FE infected C:\WINDOWS\

crpq.exe Win32.Winshow.FD infected C:\WINDOWS\

crqc.exe Win32.Winshow.FD infected C:\WINDOWS\

crqs.exe Win32.Winshow.FD infected C:\WINDOWS\

crrg32.exe Win32.Winshow.FD infected C:\WINDOWS\

crsz.exe Win32.Winshow.FE infected C:\WINDOWS\

crtg32.exe Win32.Winshow.FE infected C:\WINDOWS\

crtl32.exe Win32.Winshow.FD infected C:\WINDOWS\

crui.exe Win32.Winshow.FD infected C:\WINDOWS\

crvt.exe Win32.Winshow.FE infected C:\WINDOWS\

crwf.exe Win32.Winshow.FE infected C:\WINDOWS\

crwl.exe Win32.Winshow.FB infected C:\WINDOWS\

crwq.exe Win32.Winshow.FD infected C:\WINDOWS\

crww.exe Win32.Winshow.FD infected C:\WINDOWS\

cryc.exe Win32.Winshow.FD infected C:\WINDOWS\

crye32.exe Win32.Winshow.FD infected C:\WINDOWS\

cryp.exe Win32.Winshow.FD infected C:\WINDOWS\

d3bi32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3bn32.exe Win32.Winshow.FE infected C:\WINDOWS\

d3bs32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3bv.exe Win32.Winshow.FD infected C:\WINDOWS\

d3bz.exe Win32.Winshow.FD infected C:\WINDOWS\

d3bz32.exe Win32.Winshow.FE infected C:\WINDOWS\

d3di32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3ep.exe Win32.Winshow.FD infected C:\WINDOWS\

d3ff.exe Win32.Winshow.FE infected C:\WINDOWS\

d3fi32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3fj.exe Win32.Winshow.FE infected C:\WINDOWS\

d3fm.exe Win32.Winshow.FD infected C:\WINDOWS\

d3ha32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3hw32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3hy32.exe Win32.Winshow.FE infected C:\WINDOWS\

d3ie32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3jj.exe Win32.Winshow.FE infected C:\WINDOWS\

d3ks32.exe Win32.Winshow.FE infected C:\WINDOWS\

d3lv32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3ne32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3ok32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3pp32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3qb32.exe Win32.Winshow.FB infected C:\WINDOWS\

d3qu.exe Win32.Winshow.FD infected C:\WINDOWS\

d3rc.exe Win32.Winshow.FD infected C:\WINDOWS\

d3rz32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3ti32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3tv32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3tx.exe Win32.Winshow.FE infected C:\WINDOWS\

d3ub32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3ug32.exe Win32.Winshow.FD infected C:\WINDOWS\

d3wv.exe Win32.Winshow.FD infected C:\WINDOWS\

d3zq32.exe Win32.Winshow.FD infected C:\WINDOWS\

CHMHelp.chm HTML.Bloon.E infected C:\WINDOWS\Help\

ieaa32.exe Win32.Winshow.FD infected C:\WINDOWS\

ieaf32.exe Win32.Winshow.FD infected C:\WINDOWS\

iebc.exe Win32.Winshow.FD infected C:\WINDOWS\

iebg32.exe Win32.Winshow.FE infected C:\WINDOWS\

iecw32.exe Win32.Winshow.FD infected C:\WINDOWS\

ieeq32.exe Win32.Winshow.FD infected C:\WINDOWS\

ieez32.exe Win32.Winshow.FD infected C:\WINDOWS\

ieia32.exe Win32.Winshow.FD infected C:\WINDOWS\

ieit.exe Win32.Winshow.FD infected C:\WINDOWS\

iejc32.exe Win32.Winshow.FD infected C:\WINDOWS\

iejr32.exe Win32.Winshow.FD infected C:\WINDOWS\

iejz.exe Win32.Winshow.FD infected C:\WINDOWS\

ielz32.exe Win32.Winshow.FB infected C:\WINDOWS\

iemk32.exe Win32.Winshow.FD infected C:\WINDOWS\

iena.exe Win32.Winshow.FE infected C:\WINDOWS\

ieol.exe Win32.Winshow.FD infected C:\WINDOWS\

ieov32.exe Win32.Winshow.FD infected C:\WINDOWS\

ieqa.exe Win32.Winshow.FE infected C:\WINDOWS\

ieqz32.exe Win32.Winshow.FE infected C:\WINDOWS\

iese32.exe Win32.Winshow.FD infected C:\WINDOWS\

ieum.exe Win32.Winshow.FD infected C:\WINDOWS\

ieuq32.exe Win32.Winshow.FE infected C:\WINDOWS\

ievg.exe Win32.Winshow.FD infected C:\WINDOWS\

ievn.exe Win32.Winshow.FD infected C:\WINDOWS\

ievt32.exe Win32.Winshow.FB infected C:\WINDOWS\

ievz.exe Win32.Winshow.FD infected C:\WINDOWS\

iewz.exe Win32.Winshow.FB infected C:\WINDOWS\

iexe.exe Win32.Winshow.FD infected C:\WINDOWS\

ieyy32.exe Win32.Winshow.FD infected C:\WINDOWS\

ipag.exe Win32.Winshow.FE infected C:\WINDOWS\

ipar.exe Win32.Winshow.FD infected C:\WINDOWS\

ipby.exe Win32.Winshow.FD infected C:\WINDOWS\

ipcr.exe Win32.Winshow.FB infected C:\WINDOWS\

ipdf.exe Win32.Winshow.FD infected C:\WINDOWS\

ipdy32.exe Win32.Winshow.FE infected C:\WINDOWS\

ipek.exe Win32.Winshow.FB infected C:\WINDOWS\

ipez32.exe Win32.Winshow.FE infected C:\WINDOWS\

ipfz32.exe Win32.Winshow.FD infected C:\WINDOWS\

iphe32.exe Win32.Winshow.FE infected C:\WINDOWS\

iphj32.exe Win32.Winshow.FE infected C:\WINDOWS\

iphl32.exe Win32.Winshow.FD infected C:\WINDOWS\

ipkk.exe Win32.Winshow.FD infected C:\WINDOWS\

iplr.exe Win32.Winshow.FE infected C:\WINDOWS\

ipmi32.exe Win32.Winshow.FD infected C:\WINDOWS\

ipmp.exe Win32.Winshow.FD infected C:\WINDOWS\

ipmq32.exe Win32.Winshow.FD infected C:\WINDOWS\

ipng32.exe Win32.Winshow.FE infected C:\WINDOWS\

ipnl.exe Win32.Winshow.FD infected C:\WINDOWS\

ipoc.exe Win32.Winshow.FE infected C:\WINDOWS\

ipoi.exe Win32.Winshow.FD infected C:\WINDOWS\

ipok.exe Win32.Winshow.FD infected C:\WINDOWS\

ipoq.exe Win32.Winshow.FE infected C:\WINDOWS\

ippa.exe Win32.Winshow.FD infected C:\WINDOWS\

ipqp.exe Win32.Winshow.FD infected C:\WINDOWS\

ipqu.exe Win32.Winshow.FD infected C:\WINDOWS\

iprj32.exe Win32.Winshow.FE infected C:\WINDOWS\

iprz32.exe Win32.Winshow.FD infected C:\WINDOWS\

ipsj32.exe Win32.Winshow.FD infected C:\WINDOWS\

ipsy32.exe Win32.Winshow.FD infected C:\WINDOWS\

ipvb.exe Win32.Winshow.FE infected C:\WINDOWS\

ipvb32.exe Win32.Winshow.FD infected C:\WINDOWS\

ipvh.exe Win32.Winshow.FD infected C:\WINDOWS\

ipvn32.exe Win32.Winshow.FD infected C:\WINDOWS\

ipvu.exe Win32.Winshow.FE infected C:\WINDOWS\

ipwk.exe Win32.Winshow.FE infected C:\WINDOWS\

ipwp32.exe Win32.Winshow.FD infected C:\WINDOWS\

ipxc32.exe Win32.Winshow.FD infected C:\WINDOWS\

ipxr.exe Win32.Winshow.FE infected C:\WINDOWS\

ipyb32.exe Win32.Winshow.FE infected C:\WINDOWS\

ipyy32.exe Win32.Winshow.FD infected C:\WINDOWS\

javaax.exe Win32.Winshow.FD infected C:\WINDOWS\

javabm32.exe Win32.Winshow.FD infected C:\WINDOWS\

javabp.exe Win32.Winshow.FD infected C:\WINDOWS\

javabv32.exe Win32.Winshow.FE infected C:\WINDOWS\

javacn32.exe Win32.Winshow.FE infected C:\WINDOWS\

javacr32.exe Win32.Winshow.FD infected C:\WINDOWS\

javacs.exe Win32.Winshow.FD infected C:\WINDOWS\

javagm32.exe Win32.Winshow.FE infected C:\WINDOWS\

javahm32.exe Win32.Winshow.FE infected C:\WINDOWS\

javaht32.exe Win32.Winshow.FE infected C:\WINDOWS\

javaie.exe Win32.Winshow.FE infected C:\WINDOWS\

javaik32.exe Win32.Winshow.FD infected C:\WINDOWS\

javaiv32.exe Win32.Winshow.FD infected C:\WINDOWS\

javajx.exe Win32.Winshow.FD infected C:\WINDOWS\

javali32.exe Win32.Winshow.FE infected C:\WINDOWS\

javalv32.exe Win32.Winshow.FD infected C:\WINDOWS\

javalw32.exe Win32.Winshow.FD infected C:\WINDOWS\

javamq.exe Win32.Winshow.FE infected C:\WINDOWS\

javamy32.exe Win32.Winshow.FD infected C:\WINDOWS\

javaoi32.exe Win32.Winshow.FD infected C:\WINDOWS\

javaoo32.exe Win32.Winshow.FD infected C:\WINDOWS\

javaos32.exe Win32.Winshow.FD infected C:\WINDOWS\

javapl32.exe Win32.Winshow.FE infected C:\WINDOWS\

javaps32.exe Win32.Winshow.FD infected C:\WINDOWS\

javaqe32.exe Win32.Winshow.FD infected C:\WINDOWS\

javaqj32.exe Win32.Winshow.FE infected C:\WINDOWS\

javaqv.exe Win32.Winshow.FD infected C:\WINDOWS\

javaqw32.exe Win32.Winshow.FD infected C:\WINDOWS\

javaqz32.exe Win32.Winshow.FD infected C:\WINDOWS\

javarr32.exe Win32.Winshow.FD infected C:\WINDOWS\

javauj32.exe Win32.Winshow.FD infected C:\WINDOWS\

javauk32.exe Win32.Winshow.FD infected C:\WINDOWS\

javauy.exe Win32.Winshow.FD infected C:\WINDOWS\

javaxy32.exe Win32.Winshow.FD infected C:\WINDOWS\

javayq.exe Win32.Winshow.FD infected C:\WINDOWS\

javazb32.exe Win32.Winshow.FD infected C:\WINDOWS\

javazd.exe Win32.Winshow.FD infected C:\WINDOWS\

javazf.exe Win32.Winshow.FD infected C:\WINDOWS\

javazv32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcbe32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcee32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcfy32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcgy32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfchh32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfchr32.exe Win32.Winshow.FE infected C:\WINDOWS\

mfcjt.exe Win32.Winshow.FE infected C:\WINDOWS\

mfckk.exe Win32.Winshow.FD infected C:\WINDOWS\

mfckw32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcnf32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcng.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcnm32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcnz32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcoo.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcra.exe Win32.Winshow.FB infected C:\WINDOWS\

mfcrd32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcrf32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcrn32.exe Win32.Winshow.FE infected C:\WINDOWS\

mfcsj32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcsx.exe Win32.Winshow.FB infected C:\WINDOWS\

mfcto32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfctv32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcuq.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcvo32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcxg32.exe Win32.Winshow.FE infected C:\WINDOWS\

mfcxs.exe Win32.Winshow.FD infected C:\WINDOWS\

mfcyi.exe Win32.Winshow.FD infected C:\WINDOWS\

mfczg32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfczi32.exe Win32.Winshow.FD infected C:\WINDOWS\

mfczu32.exe Win32.Winshow.FE infected C:\WINDOWS\

msab.exe Win32.Winshow.FD infected C:\WINDOWS\

msar32.exe Win32.Winshow.FB infected C:\WINDOWS\

msax.exe Win32.Winshow.FD infected C:\WINDOWS\

mscx.exe Win32.Winshow.FE infected C:\WINDOWS\

msdl.exe Win32.Winshow.FE infected C:\WINDOWS\

msdp.exe Win32.Winshow.FD infected C:\WINDOWS\

msdy32.exe Win32.Winshow.FD infected C:\WINDOWS\

mseu.exe Win32.Winshow.FD infected C:\WINDOWS\

msfi32.exe Win32.Winshow.FD infected C:\WINDOWS\

msfp32.exe Win32.Winshow.FD infected C:\WINDOWS\

msfu.exe Win32.Winshow.FE infected C:\WINDOWS\

msgc32.exe Win32.Winshow.FE infected C:\WINDOWS\

mshc.exe Win32.Winshow.FD infected C:\WINDOWS\

mshq.exe Win32.Winshow.FE infected C:\WINDOWS\

msie.exe Win32.Winshow.FE infected C:\WINDOWS\

msiu32.exe Win32.Winshow.FD infected C:\WINDOWS\

msix.exe Win32.Winshow.FD infected C:\WINDOWS\

msiy.exe Win32.Winshow.FE infected C:\WINDOWS\

msjy32.exe Win32.Winshow.FE infected C:\WINDOWS\

mslf.exe Win32.Winshow.FD infected C:\WINDOWS\

msmp32.exe Win32.Winshow.FD infected C:\WINDOWS\

msnl32.exe Win32.Winshow.FE infected C:\WINDOWS\

msny.exe Win32.Winshow.FD infected C:\WINDOWS\

msog.exe Win32.Winshow.FD infected C:\WINDOWS\

msor.exe Win32.Winshow.FD infected C:\WINDOWS\

msou32.exe Win32.Winshow.FE infected C:\WINDOWS\

msov32.exe Win32.Winshow.FD infected C:\WINDOWS\

mspy32.exe Win32.Winshow.FD infected C:\WINDOWS\

mssx32.exe Win32.Winshow.FD infected C:\WINDOWS\

mstl32.exe Win32.Winshow.FD infected C:\WINDOWS\

mstz32.exe Win32.Winshow.FD infected C:\WINDOWS\

msua32.exe Win32.Winshow.FD infected C:\WINDOWS\

msui.exe Win32.Winshow.FD infected C:\WINDOWS\

msur32.exe Win32.Winshow.FD infected C:\WINDOWS\

msyd32.exe Win32.Winshow.FD infected C:\WINDOWS\

netby32.exe Win32.Winshow.FD infected C:\WINDOWS\

netdi32.exe Win32.Winshow.FD infected C:\WINDOWS\

netdu32.exe Win32.Winshow.FD infected C:\WINDOWS\

nethg32.exe Win32.Winshow.FD infected C:\WINDOWS\

netje.exe Win32.Winshow.FE infected C:\WINDOWS\

netjv.exe Win32.Winshow.FD infected C:\WINDOWS\

netku.exe Win32.Winshow.FD infected C:\WINDOWS\

netky.exe Win32.Winshow.FD infected C:\WINDOWS\

netlg32.exe Win32.Winshow.FE infected C:\WINDOWS\

netlp32.exe Win32.Winshow.FD infected C:\WINDOWS\

netne32.exe Win32.Winshow.FE infected C:\WINDOWS\

netnq32.exe Win32.Winshow.FE infected C:\WINDOWS\

netoh32.exe Win32.Winshow.FE infected C:\WINDOWS\

netol32.exe Win32.Winshow.FE infected C:\WINDOWS\

netql32.exe Win32.Winshow.FB infected C:\WINDOWS\

netse.exe Win32.Winshow.FD infected C:\WINDOWS\

netsh.exe Win32.Winshow.FD infected C:\WINDOWS\

netst.exe Win32.Winshow.FE infected C:\WINDOWS\

netst32.exe Win32.Winshow.FD infected C:\WINDOWS\

netvg32.exe Win32.Winshow.FD infected C:\WINDOWS\

netvs32.exe Win32.Winshow.FD infected C:\WINDOWS\

netvy.exe Win32.Winshow.FE infected C:\WINDOWS\

netwr32.exe Win32.Winshow.FD infected C:\WINDOWS\

netxa.exe Win32.Winshow.FD infected C:\WINDOWS\

netyp.exe Win32.Winshow.FD infected C:\WINDOWS\

netza32.exe Win32.Winshow.FD infected C:\WINDOWS\

ntbk.exe Win32.Winshow.FD infected C:\WINDOWS\

ntcw32.exe Win32.Winshow.FD infected C:\WINDOWS\

ntdx32.exe Win32.Winshow.FD infected C:\WINDOWS\

nteb.exe Win32.Winshow.FE infected C:\WINDOWS\

ntge.exe Win32.Winshow.FB infected C:\WINDOWS\

ntgu.exe Win32.Winshow.FD infected C:\WINDOWS\

ntll.exe Win32.Winshow.FD infected C:\WINDOWS\

ntne32.exe Win32.Winshow.FD infected C:\WINDOWS\

ntns32.exe Win32.Winshow.FE infected C:\WINDOWS\

ntnw32.exe Win32.Winshow.FD infected C:\WINDOWS\

ntoa.exe Win32.Winshow.FD infected C:\WINDOWS\

ntoc.exe Win32.Winshow.FD infected C:\WINDOWS\

ntof32.exe Win32.Winshow.FD infected C:\WINDOWS\

nton32.exe Win32.Winshow.FD infected C:\WINDOWS\

ntqu.exe Win32.Winshow.FD infected C:\WINDOWS\

ntru.exe Win32.Winshow.FE infected C:\WINDOWS\

ntsf.exe Win32.Winshow.FD infected C:\WINDOWS\

ntum.exe Win32.Winshow.FD infected C:\WINDOWS\

ntvh.exe Win32.Winshow.FD infected C:\WINDOWS\

ntyh.exe Win32.Winshow.FD infected C:\WINDOWS\

ntym.exe Win32.Winshow.FD infected C:\WINDOWS\

sdkas.exe Win32.Winshow.FE infected C:\WINDOWS\

sdkdi.exe Win32.Winshow.FD infected C:\WINDOWS\

sdkfj32.exe Win32.Winshow.FD infected C:\WINDOWS\

sdkgb.exe Win32.Winshow.FE infected C:\WINDOWS\

sdkgo32.exe Win32.Winshow.FD infected C:\WINDOWS\

sdkgr.exe Win32.Winshow.FD infected C:\WINDOWS\

sdkhk.exe Win32.Winshow.FE infected C:\WINDOWS\

sdkin.exe Win32.Winshow.FD infected C:\WINDOWS\

sdklf.exe Win32.Winshow.FD infected C:\WINDOWS\

sdkns.exe Win32.Winshow.FD infected C:\WINDOWS\

sdknw.exe Win32.Winshow.FE infected C:\WINDOWS\

sdksn.exe Win32.Winshow.FD infected C:\WINDOWS\

sdkts32.exe Win32.Winshow.FD infected C:\WINDOWS\

sdkup.exe Win32.Winshow.FE infected C:\WINDOWS\

sdkvd.exe Win32.Winshow.FD infected C:\WINDOWS\

sdkvg.exe Win32.Winshow.FD infected C:\WINDOWS\

sdkwo32.exe Win32.Winshow.FD infected C:\WINDOWS\

sdkws.exe Win32.Winshow.FE infected C:\WINDOWS\

sdkzj32.exe Win32.Winshow.FD infected C:\WINDOWS\

sysae.exe Win32.Winshow.FE infected C:\WINDOWS\

sysai.exe Win32.Winshow.FD infected C:\WINDOWS\

sysak32.exe Win32.Winshow.FD infected C:\WINDOWS\

sysar32.exe Win32.Winshow.FD infected C:\WINDOWS\

sysav32.exe Win32.Winshow.FD infected C:\WINDOWS\

sysay.exe Win32.Winshow.FD infected C:\WINDOWS\

sysbz.exe Win32.Winshow.FD infected C:\WINDOWS\

sysel.exe Win32.Winshow.FD infected C:\WINDOWS\

sysen.exe Win32.Winshow.FE infected C:\WINDOWS\

sysgk32.exe Win32.Winshow.FD infected C:\WINDOWS\

sysgx.exe Win32.Winshow.FE infected C:\WINDOWS\

syshu.exe Win32.Winshow.FD infected C:\WINDOWS\

sysjr.exe Win32.Winshow.FD infected C:\WINDOWS\

syskj.exe Win32.Winshow.FD infected C:\WINDOWS\

syskp32.exe Win32.Winshow.FE infected C:\WINDOWS\

sysks32.exe Win32.Winshow.FE infected C:\WINDOWS\

sysna.exe Win32.Winshow.FD infected C:\WINDOWS\

syssa32.exe Win32.Winshow.FD infected C:\WINDOWS\

addaa32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addam.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

addbj.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addbk.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

addbn32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addbu32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addci32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

addcv.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addei.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addfd.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addfe.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

addfy.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addgg32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

addhv.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

addhw.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

addia.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addid32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addij.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addiq.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addjd.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addkd.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addkh.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addkq.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addlj.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addll32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

addmf32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addmm.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addmt.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addoh.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addqh.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

addqr.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addrc.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addrn.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addta.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addtf32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

addtz32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

adduu32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

adduz32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addvo.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addxo32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

addyy.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

apibb32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apibh.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apibx32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

apice32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apicy32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apicz.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apidm32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

apids.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apieb.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apien.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apiez.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

apiez32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apifi32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apifq32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

apigr32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apiit.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apiiv.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

apijb32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apikx32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apimk.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

apinj.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apinj32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

apinr32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apiop.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apiqo.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

apiqq.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apiqy32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apism32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apisv32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apitb32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apitf32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

apitt.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

apiuf32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apiui.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apiun.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

apivn32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apivr32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apiwm32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apixh32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

apixr32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

apiyq.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apizc.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appbi32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appbj32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appbl32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appbv.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appcb32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

appce.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appch32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appct32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

appcz32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appdb.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appeq32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

appew.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appfj32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appfp32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appgf.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appgq32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appii32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appjl32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appjx32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appky.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

appls32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appmc.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appme32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appmw32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appnf.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appos.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apppn.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

appqt.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

appqt32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

apprh.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

appry.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appts.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

appvk.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appvr.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

appvs.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

appzi32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

appzk32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

appzn.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

atlaf.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

atlas.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

atldr32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

atldy.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

atleb.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

atlej.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

atleq.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

atles.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

atlgl.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

atlgt.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

atlkk.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

atlla32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

atlmy.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

atlon.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

atlph.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

atlqa32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

atltq.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

atlxr.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

atlxx.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crbl32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crcb32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crct32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

crdk32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crdm.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

creg32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crfb32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crfu.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

crgd32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crgm.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crgx32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crhe.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crib.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

cril.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

criw.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crjk32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

crjl.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

crjs.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crkp32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crnf.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

crnj.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crnk.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crnv.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

crnv32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

croc.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crof32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crox32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

crpt32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crqh32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crrl32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crrq32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crru.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crrv32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crth.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crtj32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crub32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

crvy.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crww32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

crwx32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

cryn32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

cryw.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

crzb32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

crzf.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3ad.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3bm.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

d3bp32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3bz.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3cg.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3ci32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

d3de32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3el32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3ew.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3fu32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3gu.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

d3hr.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3id.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3it.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

d3jc.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

d3ji32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

d3jo.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3jt32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3ju32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

d3kd32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3ky32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3lq32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3mp.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

d3my32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3nd32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

d3nr32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

d3ns.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3qf.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3rb.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3tc32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3vn.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3wd.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3wg32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3wn.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3xr32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

d3ya.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

d3zg32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

d3zo.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

d3zo32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

d3zt.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ieai.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

iecj.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

iecx32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ieea32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

iefg.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

iefl.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

iegc.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

iegt.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ieib.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ieix.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

iejq.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

iejs.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

iejv32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

iekw32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ieop32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

iesq32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ietp32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

iety32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ieuw.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ievc.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ievq32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ievr.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

iewr.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

iewr32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

iexg32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ieyx32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

iezn.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ipbm.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ipck.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipdi32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipfd32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

ipfg.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipgc.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ipgm.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ipgm32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

iphu.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

ipil.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipjm.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipjx.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipkb32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipks32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipkw.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ipma.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

ipmr.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipmu.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipmx.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ipnz32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipov.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipoz32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipqe.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipql.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

iprr.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

iprw.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipst.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ipvf.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipwf32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipxg.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipyo32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipyt.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ipyy32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ipzb.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

ipzy32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

javaan.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javaav.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

javabo.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

javach.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

javadl.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javafa.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javaha.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javahv.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javaig32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javake32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

javakq.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javakx32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javalb.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javali.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javama.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

javamr.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javanc.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javann32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javaqk32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javaqy.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

javara32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javarm32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javars.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

javasf32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

javast32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javasz.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javato32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javauu32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javavq32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javavz32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

javaww.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javaxh32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javaxx32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javayo.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

javazc.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javazd32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javazn32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

javazs.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javazv32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

javazx32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcac.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcan.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mfcbk.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mfcbq.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcbu.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcca.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

mfcdf32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfces.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mfcfi32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcfl.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mfchb32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfche32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcjg32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcjt32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfckf32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfckg32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfckl32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcku32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcld32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcmb32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcmc.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mfcmf32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcmk32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcmq.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mfcni.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mfcnv32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcoi.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mfcoj.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mfcor.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

mfcpj32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcpz.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcqt32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcrs.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcsy.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfctz.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcvb32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcvz32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mfcwa.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcwf32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mfcwo.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcxg32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mfcyf.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfcyt.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfczi32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mfczu.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msar.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

msas.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mscn32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msef.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msff32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

msfx32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msho32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mshq32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msht.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

mshw.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mshy32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msir32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

msje32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msmw.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msng.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msnp32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msoc32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msof.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

msog32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mspj.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msrx32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msrz32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mstw.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msua32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msvz32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msxl.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msxo32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msxt32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

msyd.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mszj32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

mszm32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mszq32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

mszt.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netaa32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

netbj32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netbv32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

netbx32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

netcs32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netdh32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

neteb.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

netfg.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netgv.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

nethg.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

nethi32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

netjk32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netjz.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netkf.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netlq32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netls.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

netmm.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netoj32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netol.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netre32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netro32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netrw32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

nettd.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

nettd32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

nettr32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

netuq.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

netur.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

netvd32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

netvf32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netvx.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netyh32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netzb32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

netzg32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntap32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntbp.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntdz32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntfd.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntfk32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntfl32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

nthg.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

nthi32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

nthq32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntht32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntil32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntit.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ntiu32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntjg32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntjy.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntkl32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntmz.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntnb.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntnp.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntnr32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntog32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntor32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntpq.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntpu.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntpx32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntpy.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ntqu32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ntqw32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntrj.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntrr32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntsu32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

nttm32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

nttt32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ntty32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntuj32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntvn32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntvo.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

ntwg32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntwu.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntyl.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntyz.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

ntzw32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

sdkai.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sdkbl.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

sdkex.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sdkfg.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

sdkkk.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

sdkky32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sdkla.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sdklv.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sdkly.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sdknx.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

sdksj32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sdksr.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sdkvf.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

sdkwu.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sdkym32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sdkyw32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sdkze.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

sysai.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysap.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysbo32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

sysbt.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

sysct32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

sysee.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

syser.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysgo32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

syshy32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysjg.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysjg32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysjr.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysjr32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

syskj.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysle.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysmi.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

sysnb32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysom.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

sysqz32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

sysrl32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

syssa.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

syssm32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysso.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

syste32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

systj32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

systm.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

systz.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

sysun.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

syswl32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

syswu32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

sysxb.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysye32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysyp.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

syszz.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winac32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winah.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

winai.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winbo32.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

winbz32.exe Win32.Winshow.FB infected C:\WINDOWS\system32\

wincg.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

wincn.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

wincr32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winew32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

wingc32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winhs.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

winhv32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winis.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winit32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winjb.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winle32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winlq32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winmh.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winmm.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winob.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

winud32.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winut.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winvn.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winwe.exe Win32.Winshow.FE infected C:\WINDOWS\system32\

winyo.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

winzo.exe Win32.Winshow.FD infected C:\WINDOWS\system32\

sysum32.exe Win32.Winshow.FD infected C:\WINDOWS\

sysuv32.exe Win32.Winshow.FD infected C:\WINDOWS\

sysva.exe Win32.Winshow.FE infected C:\WINDOWS\

sysvb.exe Win32.Winshow.FD infected C:\WINDOWS\

syswe.exe Win32.Winshow.FD infected C:\WINDOWS\

syswu.exe Win32.Winshow.FD infected C:\WINDOWS\

sysxc32.exe Win32.Winshow.FD infected C:\WINDOWS\

sysxf.exe Win32.Winshow.FD infected C:\WINDOWS\

sysxf32.exe Win32.Winshow.FB infected C:\WINDOWS\

sysxl32.exe Win32.Winshow.FD infected C:\WINDOWS\

sysxq32.exe Win32.Winshow.FD infected C:\WINDOWS\

sysxt.exe Win32.Winshow.FD infected C:\WINDOWS\

sysxx32.exe Win32.Winshow.FD infected C:\WINDOWS\

syszh.exe Win32.Winshow.FB infected C:\WINDOWS\

winaa32.exe Win32.Winshow.FD infected C:\WINDOWS\

winah.exe Win32.Winshow.FD infected C:\WINDOWS\

winai.exe Win32.Winshow.FD infected C:\WINDOWS\

winei.exe Win32.Winshow.FD infected C:\WINDOWS\

wings.exe Win32.Winshow.FD infected C:\WINDOWS\

winhj32.exe Win32.Winshow.FD infected C:\WINDOWS\

winhm.exe Win32.Winshow.FD infected C:\WINDOWS\

winhv32.exe Win32.Winshow.FD infected C:\WINDOWS\

winhz.exe Win32.Winshow.FE infected C:\WINDOWS\

winig.exe Win32.Winshow.FD infected C:\WINDOWS\

winio.exe Win32.Winshow.FD infected C:\WINDOWS\

winiz.exe Win32.Winshow.FD infected C:\WINDOWS\

winjh.exe Win32.Winshow.FD infected C:\WINDOWS\

winjo.exe Win32.Winshow.FD infected C:\WINDOWS\

winjy32.exe Win32.Winshow.FE infected C:\WINDOWS\

winle32.exe Win32.Winshow.FD infected C:\WINDOWS\

winli32.exe Win32.Winshow.FD infected C:\WINDOWS\

winma32.exe Win32.Winshow.FD infected C:\WINDOWS\

winmi.exe Win32.Winshow.FD infected C:\WINDOWS\

winmi32.exe Win32.Winshow.FE infected C:\WINDOWS\

winnp32.exe Win32.Winshow.FE infected C:\WINDOWS\

winoc.exe Win32.Winshow.FE infected C:\WINDOWS\

winoj32.exe Win32.Winshow.FD infected C:\WINDOWS\

winos32.exe Win32.Winshow.FD infected C:\WINDOWS\

winqr.exe Win32.Winshow.FD infected C:\WINDOWS\

winqy.exe Win32.Winshow.FD infected C:\WINDOWS\

winra.exe Win32.Winshow.FD infected C:\WINDOWS\

winsl.exe Win32.Winshow.FE infected C:\WINDOWS\

winvj32.exe Win32.Winshow.FD infected C:\WINDOWS\

winvn.exe Win32.Winshow.FE infected C:\WINDOWS\

winwv32.exe Win32.Winshow.FD infected C:\WINDOWS\

winxh32.exe Win32.Winshow.FD infected C:\WINDOWS\

winyb32.exe Win32.Winshow.FD infected C:\WINDOWS\

winyz.exe Win32.Winshow.FD infected C:\WINDOWS\

ChicaPunky · Mensaje por **ChicaPunky** » 25 Ago 2005, 14:26

Disculpad mi ignorancia pero... alguien puede traducirme el último mensaje de msc hotline sat ?????????

GRACIAS !!

ChicaPunky · Mensaje por **ChicaPunky** » 25 Ago 2005, 14:29

Disculpad mi ignorancia pero... alguien puede traducirme el último mensaje de msc hotline sat ?????????

GRACIAS !!

Mensaje por **maura63** » 25 Ago 2005, 16:15

CWShredder™ Version 2.15 Mayo 2005

Descarga

http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe

Descarga la siguiente utilidad ABOUTBUSTER de uno de estos sitios:

http://www.atribune.org/downloads/AboutBuster.zip

http://www.downloads.subratam.org/AboutBuster.zip

Descargas y pasalas arrancando en modo seguro, desactiva antes la restauracion del sistema.

Luego en modo normal vuelve a sacar el log de hijackthis y nos lo pegas.

Lo de Msc es un comentario sobre otro bicho duro de pelar.

Saludos

maura63

Mensaje por **msc hotline sat** » 25 Ago 2005, 16:48

Bueno, pues lo aclaro yo:

Tenemos otro Tema igual de otro usuario que estamos con el mismo ONLY THE BEST y entiendo que conviene adquirir experiencias de los dos casos y tratar de solucionar el Tema.

Dado que este Tema lo atienda Maura63, si bien insisto en la conveniencia de que mire de enviarnos los ficheros indicados para su analisis y poder desarrollar una utilidad de eliminaicon de este bicho !

si tiene alguna duda, consultenmos como respuesta a este Tema, gracias

sañudos

ms, 25-08-2005

ChicaPunky · Mensaje por **ChicaPunky** » 26 Ago 2005, 13:23

Veamos........ Sigo sin enterarme del todo.

Ya he descargado el AaboutBuster y el CWShredder, ahora estos dos programas (o lo q sean) tengo que ejecutarlos en el modo seguro, en el modo normal o dónde .... ???

Lo de desactivar la restauración del sistema.... eso exactamente :?: :?: :?:

Los mensajes q me salían antes al iniciar windows ya no me salen... :D Eso sí, el virus sigue ne pie...

Saludos !!

ChicaPunky · Mensaje por **ChicaPunky** » 26 Ago 2005, 13:44

Veamos.......... he pasado los dos programas, el AboutBuster y el Cwshredder en el modo normal y he pasado el Hijackthis y este es el resultado:

Logfile of HijackThis v1.99.1

Scan saved at 13:41:20, on 26/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\WINDOWS\atlyk32.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: Class - {FAA3AE33-E236-9AAE-0086-426033A4531F} - C:\WINDOWS\system32\mfchw.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [atlyk32.exe] C:\WINDOWS\atlyk32.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\RunOnce: [sysyv32.exe] C:\WINDOWS\sysyv32.exe

O4 - HKLM\..\RunOnce: [nteq.exe] C:\WINDOWS\system32\nteq.exe

O4 - HKLM\..\RunOnce: [msom32.exe] C:\WINDOWS\msom32.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Open with BitPump - C:\Archivos de programa\AnalogX\BitPump\ieint.htm

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_01) -

O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -

O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} - http://runonce.msn.com/setacceptlang.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE2B784-0789-4027-B2A9-DB0B9544E4C9}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netwe32.exe (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Ya me diréis, saludos !!

Mensaje por **maura63** » 26 Ago 2005, 13:51

Vuelve a pasarlos pero hazlo arrancando en modo seguro.

Saludos

maura63

ChicaPunky · Mensaje por **ChicaPunky** » 26 Ago 2005, 14:44

He pasado ya los programas en modo seguro y el Hjackthis en modo seguro.

Resultados:

Logfile of HijackThis v1.99.1

Scan saved at 14:16:41, on 26/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Archivos de programa\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: Class - {FAA3AE33-E236-9AAE-0086-426033A4531F} - C:\WINDOWS\system32\mfchw.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [atlyk32.exe] C:\WINDOWS\atlyk32.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunOnce: [sysyv32.exe] C:\WINDOWS\sysyv32.exe

O4 - HKLM\..\RunOnce: [nteq.exe] C:\WINDOWS\system32\nteq.exe

O4 - HKLM\..\RunOnce: [msom32.exe] C:\WINDOWS\msom32.exe

O4 - HKLM\..\RunOnce: [mfcrs32.exe] C:\WINDOWS\mfcrs32.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Open with BitPump - C:\Archivos de programa\AnalogX\BitPump\ieint.htm

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_01) -

O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -

O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} - http://runonce.msn.com/setacceptlang.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netwe32.exe (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Gracias por vuestra atención :), saludos !!

Mensaje por **maura63** » 26 Ago 2005, 16:12

El hijackthis es para mostrarnos el log de lo que carga y de encontrar algun bichejo poder eliminar, de por si solo no hace nada. Y debes pegarnos el log arrancando en modo normal.

Por lo pronto en modo normal lanza hijackthis pulsa scan, marcas las siguientes entradas y pulsa FIX, acepta.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001 -

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001 -

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mqhlw.dll/sp.html#10001 -

R3 - Default URLSearchHook is missing -

O2 - BHO: Class - {FAA3AE33-E236-9AAE-0086-426033A4531F} - C:\WINDOWS\system32\mfchw.dll -

O4 - HKLM\..\Run: [atlyk32.exe] C:\WINDOWS\atlyk32.exe -

O4 - HKLM\..\RunOnce: [sysyv32.exe] C:\WINDOWS\sysyv32.exe -

O4 - HKLM\..\RunOnce: [nteq.exe] C:\WINDOWS\system32\nteq.exe -

O4 - HKLM\..\RunOnce: [msom32.exe] C:\WINDOWS\msom32.exe -

O4 - HKLM\..\RunOnce: [mfcrs32.exe] C:\WINDOWS\mfcrs32.exe -

O8 - Extra context menu item: Open with BitPump - C:\Archivos de programa\AnalogX\BitPump\ieint.htm -

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netwe32.exe (file missing) -

Despues apagas y enciendes en modo seguro desactiva antes la restauracion del sistema, busca en C si tienes algo con estas extensiones y las eliminas

atlyk32.exe

sysyv32.exe

nteq.exe

msom32.exe

mfcrs32.exe

Vuelve a lanzar ABOUTBUSTER, CWS, Spybot y Elistara

Despues arranca en modo normal, busca el archivo hosts y copias y nos pegas el contenido.

Saludos

maura63

Mensaje por **msc hotline sat** » 30 Ago 2005, 14:15

ATENCION A LA NUEVA VERSION DE ELIBDCSL.EXE 1.3

Puede ser interesante para solucionar este Tema

Mirar lo indicado en:

https://foros.zonavirus.com/viewtopic.php?t=8250&highlight=

y para descargarla:

ELIBDCSL.EXE

http://www.zonavirus.com/datos/descargas/178/ELIBDCSLEXE.asp

saludos

ms, 30-08-2005

ChicaPunky · Mensaje por **ChicaPunky** » 10 Sep 2005, 17:41

He vuelto de vacaciones ya y por supuesto sigo con el virus, y hay algo peor, que ya no me queda nada pero nada de espacio en el ordenador 0 GB. Ayudarme que necesito acabar con la m***da del virus y "limpiar" el ordenador. Gracias !!

Logfile of HijackThis v1.99.1

Scan saved at 17:39:00, on 10/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\WINDOWS\atlyk32.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {FEBB350A-7FF3-3B6F-52F8-65F066D1DC68} - C:\WINDOWS\system32\mfclp32.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [atlyk32.exe] C:\WINDOWS\atlyk32.exe

O4 - HKLM\..\RunOnce: [javaec.exe] C:\WINDOWS\system32\javaec.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Open with BitPump - C:\Archivos de programa\AnalogX\BitPump\ieint.htm

O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_01) -

O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -

O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} - http://runonce.msn.com/setacceptlang.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE2B784-0789-4027-B2A9-DB0B9544E4C9}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netwe32.exe (file missing)

Mensaje por **msc hotline sat** » 10 Sep 2005, 17:57

Ante todo descarga las siguientes utilidades, y en modo seguro ejecutalas: ELIBDCSL, como te decíamo y añade la ejecucion tambien del ELISTARA (descarga las ultimas versiones !!!)

Tras ello, apaga, arranca de nuevo en modo seguro, lanza el HJT y elimina si aun existen, las siguientes claves:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rxmlq.dll/sp.html#10001

R3 - Default URLSearchHook is missing

y si no conoces estas apliaciones, elimina tambien estas claves

O4 - HKLM\..\Run: [atlyk32.exe] C:\WINDOWS\atlyk32.exe

O4 - HKLM\..\RunOnce: [javaec.exe] C:\WINDOWS\system32\javaec.exe

O8 - Extra context menu item: Open with BitPump - C:\Archivos de programa\AnalogX\BitPump\ieint.htm

y si has borrado la primnera de ellas, luego al reiniciar elimina este fichero que esta en uso:

C:\WINDOWS\atlyk32.exe

y esta ultima clave eliminala en cualquier caso:

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netwe32.exe (file missing)

Tras hacer lo indicado, reinicia y mira si se han solucionado los problemas, y nos lo cuentas como respuesta de este Tema, gracias

saludos

ms, 10-09-2005

ChicaPunky · Mensaje por **ChicaPunky** » 11 Sep 2005, 19:03

Veamos, he seguido todas las indicaciones paso a paso.

Mi página de inicio ya no está "secuestrada" , vuelve a ser la de antes :) las ventanitas emergentes, las de ONLY THE BEST, de momento no me han salido ( toco madera..... ) pero en lo de agregar o quitar programas sigo teniendo dos raros:

---> Search Extender (Con el incono del messenger)

---> Shopping Wizard

Y que por supuesto no puedo eliminar...... Cómo hacerlo ???

Y una SEGUNDA CUESTIÓN. Qué programa puedo descargar para que me protega el ordenador siempre de Firewall y demás basura ???

Gracias adelantadas !!

ChicaPunky · Mensaje por **ChicaPunky** » 11 Sep 2005, 19:12

Poco me ha durado la victoria, de nuevo tengo la página de inicio "secuestrada" y de nuevo las ventanas emergentes..... he pasado el HjckThis y las claves que he borrado antes están de nuevo. Es lo mío un virus o firewall sin solución ????

Logfile of HijackThis v1.99.1

Scan saved at 19:11:40, on 11/09/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wingh32.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {DC5AC739-3DE1-DC4E-F480-C18D4DACA3AD} - C:\WINDOWS\system32\wingh32.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [wingh32.exe] C:\WINDOWS\system32\wingh32.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_01) -

O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE2B784-0789-4027-B2A9-DB0B9544E4C9}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{5460F905-06C3-4996-9978-1001B2006B57}: NameServer = 80.58.0.33,80.58.32.97

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\d3rd32.exe" /s (file missing)

Mensaje por **msc hotline sat** » 11 Sep 2005, 20:59

Arrancar en modo seguro y eliminar el fichero_:

O2 - BHO: Class - {DC5AC739-3DE1-DC4E-F480-C18D4DACA3AD} - C:\WINDOWS\system32\wingh32.dll

A continuacion, igualmente en modo seguro, lanzar el HJT y marcar y eliminar con FIX las siguyentes claves:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {DC5AC739-3DE1-DC4E-F480-C18D4DACA3AD} - C:\WINDOWS\system32\wingh32.dll

O4 - HKLM\..\Run: [wingh32.exe] C:\WINDOWS\system32\wingh32.exe

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\d3rd32.exe" /s (file missing

Recomendamos, además, lanzar el ELISTARA y poner una pagina de inicio conocida, como por ejemplo http://www.google.es para darse cuenta de cuando es cambiada.

Los cortafuegos, ni los de hard, ni los de soft, pueden impedir ser ensuciados por estos adwares y spywares, pues no son virus y no entran por intrusion

olo los antispyware controlan este tipo de gusanos.

Vea el tutorial de spywares en:

Y lance el spybot, elimine gusanos, inmunice y seleccione "BLOQUEAR TODAS LAS PAGINAS MALIGNAS EN FORMA SILENCIOSA" para no volver a entrar en pagina con estos malwares:

saludos

,s.11-09-2005

Mensaje por **msc hotline sat** » 11 Sep 2005, 21:43

Arranque en modo seguro y elimine este fochero:

C:\WINDOWS\system32\wingh32.dll

https://foros.zonavirus.com/viewtopic.php?t=4795

A continuacion, igualmente en modo seguro, lanzar el HJT y marcar y eliminar con FIX las siguientes claves:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xbjzo.dll/sp.html#10001

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {DC5AC739-3DE1-DC4E-F480-C18D4DACA3AD} - C:\WINDOWS\system32\wingh32.dll

O4 - HKLM\..\Run: [wingh32.exe] C:\WINDOWS\system32\wingh32.exe

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\d3rd32.exe" /s (file missing

Recomendamos, además, lanzar el ELISTARA y poner una pagina de inicio conocida, como por ejemplo http://www.google.es para darse cuenta de cuando es cambiada.

Los cortafuegos, ni los de hard, ni los de soft, pueden impedir ser ensuciados por estos adwares y spywares, pues no son virus y no entran por intrusion

Solo los antispyware controlan este tipo de gusanos.

Vea el tutorial de spywares en:

https://foros.zonavirus.com/viewtopic.php?t=4795

Y lance el spybot, elimine gusanos, inmunice y seleccione para no voilver a entrar en pagina con estos malwares:

Aparte, un antivirus residente bien actualizado y un cortafuegos aplicado a su ordenador, le mantendrán, en lo posible, libre de virus

saludos

,s.11-09-2005

Virus "ONLY THE BEST"

Virus "ONLY THE BEST"

VARIAS COSAS

RESULTADO DEL CHEQUEO.

SIGO IGUAL... O PEOR

¿ PROBLEMA SOLUCIONADO?

FALSA ALARMA