Ayuda con PSGuard

[alfermartin]

Hola, he pasado antivirus, adaware, elistara pero sigo teniendo un virus que me manda a la página de PS Guard y también sale muchos pop ups, no puedo desinstalar los programas, puedo alguien ayudarme , por favor?

copio el log de hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 19:22:38, on 27/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\addzm.exe

C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Mouse Driver\MouseDrv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\NMain.exe

C:\ARCHIV~1\NORTON~1\navw32.exe

C:\Archivos de programa\hijackthis\HijackThis.exe

C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkID=8561

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Class - {0E07F1CC-6044-9AB8-86B3-B33F53CA4787} - C:\WINDOWS\javasp.dll

O2 - BHO: Class - {1C678C96-122A-87F8-5AFD-0FCEB8F0D790} - C:\WINDOWS\system32\netsj.dll

O2 - BHO: Class - {4EF24DB7-3509-B765-D598-CCE2A69F964D} - C:\WINDOWS\system32\javaoc32.dll

O2 - BHO: Class - {513988C2-BD99-0FCD-5C08-EDD564E5F4A8} - C:\WINDOWS\system32\syslr.dll

O2 - BHO: Class - {5E940647-A153-0D81-849D-912EFEE6B0FD} - C:\WINDOWS\apprl.dll

O2 - BHO: Class - {61AF1D4C-8C61-9D8F-CC6D-B83A1702785E} - C:\WINDOWS\mfcbj32.dll

O2 - BHO: Class - {8757DCF3-EDCB-AF1D-2A96-1BA99BF8F486} - C:\WINDOWS\sdkxq.dll

O2 - BHO: Class - {8D1F9E37-0A0E-42B8-D6EE-2A8A3257FE9F} - C:\WINDOWS\iegl32.dll

O2 - BHO: Class - {94BBD54F-3ADB-E43E-5C54-43C21009E5E7} - C:\WINDOWS\system32\addpc.dll

O2 - BHO: Class - {A6B1C2EF-F8D1-58BA-CE88-2F9DA9853AD1} - C:\WINDOWS\sdktf.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Class - {AE5B7BC1-9D3F-286F-AC0A-AFD0279261F7} - C:\WINDOWS\d3wo32.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [CreativeMouse ] C:\Archivos de programa\Mouse Driver\MouseDrv.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [mfcob.exe] C:\WINDOWS\mfcob.exe

O4 - HKLM\..\Run: [crfo32.exe] C:\WINDOWS\crfo32.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [addyb.exe] C:\WINDOWS\system32\addyb.exe

O4 - HKLM\..\Run: [javaql32.exe] C:\WINDOWS\system32\javaql32.exe

O4 - HKLM\..\Run: [addox32.exe] C:\WINDOWS\system32\addox32.exe

O4 - HKLM\..\Run: [msjb.exe] C:\WINDOWS\msjb.exe

O4 - HKLM\..\Run: [addzm.exe] C:\WINDOWS\addzm.exe

O4 - HKLM\..\RunOnce: [iesb.exe] C:\WINDOWS\system32\iesb.exe

O4 - HKLM\..\RunOnce: [msym32.exe] C:\WINDOWS\msym32.exe

O4 - HKLM\..\RunOnce: [crnk32.exe] C:\WINDOWS\system32\crnk32.exe

O4 - HKLM\..\RunOnce: [appft32.exe] C:\WINDOWS\appft32.exe

O4 - HKLM\..\RunOnce: [crfi32.exe] C:\WINDOWS\crfi32.exe

O4 - HKLM\..\RunOnce: [crfu.exe] C:\WINDOWS\crfu.exe

O4 - HKLM\..\RunOnce: [javawt.exe] C:\WINDOWS\javawt.exe

O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKLM\..\RunOnce: [apizk32.exe] C:\WINDOWS\apizk32.exe

O4 - HKLM\..\RunOnce: [mszo32.exe] C:\WINDOWS\mszo32.exe

O4 - HKLM\..\RunOnce: [javasq.exe] C:\WINDOWS\javasq.exe

O4 - HKLM\..\RunOnce: [apinl.exe] C:\WINDOWS\system32\apinl.exe

O4 - HKLM\..\RunOnce: [sdkoc.exe] C:\WINDOWS\sdkoc.exe

O4 - HKLM\..\RunOnce: [ievd.exe] C:\WINDOWS\ievd.exe

O4 - HKLM\..\RunOnce: [mfcrn.exe] C:\WINDOWS\mfcrn.exe

O4 - HKLM\..\RunOnce: [d3gf32.exe] C:\WINDOWS\d3gf32.exe

O4 - HKLM\..\RunOnce: [mfcjf32.exe] C:\WINDOWS\mfcjf32.exe

O4 - HKLM\..\RunOnce: [sysan32.exe] C:\WINDOWS\system32\sysan32.exe

O4 - HKLM\..\RunOnce: [addnr32.exe] C:\WINDOWS\system32\addnr32.exe

O4 - HKLM\..\RunOnce: [addgf32.exe] C:\WINDOWS\addgf32.exe

O4 - HKLM\..\RunOnce: [winco32.exe] C:\WINDOWS\winco32.exe

O4 - HKLM\..\RunOnce: [crgs32.exe] C:\WINDOWS\crgs32.exe

O4 - HKLM\..\RunOnce: [sdkii.exe] C:\WINDOWS\system32\sdkii.exe

O4 - HKLM\..\RunOnce: [nttt32.exe] C:\WINDOWS\system32\nttt32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

[msc hotline sat]

El ELISTARA actual y lanzandolo habiendo arrancado en modo seguro y deshabilitando la restauracion de sistema, debiera haber solucionado el problema, pero si dices que lo has probado ??? -quizas no fue arrancando en la forma indicada -, haz lo siguiente:



Aeeanca en modo seguro, lanza el HJT y elimina las siguientes claves, marcandolas y FIX:



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pmljb.dll/sp.html#63796



R3 - Default URLSearchHook is missing



O4 - HKLM\..\Run: [CreativeMouse ] C:\Archivos de programa\Mouse Driver\MouseDrv.exe



O4 - HKLM\..\Run: [mfcob.exe] C:\WINDOWS\mfcob.exe

O4 - HKLM\..\Run: [crfo32.exe] C:\WINDOWS\crfo32.exe



O4 - HKLM\..\Run: [addyb.exe] C:\WINDOWS\system32\addyb.exe

O4 - HKLM\..\Run: [javaql32.exe] C:\WINDOWS\system32\javaql32.exe

O4 - HKLM\..\Run: [addox32.exe] C:\WINDOWS\system32\addox32.exe

O4 - HKLM\..\Run: [addyb.exe] C:\WINDOWS\system32\addyb.exe

O4 - HKLM\..\Run: [javaql32.exe] C:\WINDOWS\system32\javaql32.exe

O4 - HKLM\..\Run: [addox32.exe] C:\WINDOWS\system32\addox32.exe

O4 - HKLM\..\Run: [msjb.exe] C:\WINDOWS\msjb.exe

O4 - HKLM\..\Run: [addzm.exe] C:\WINDOWS\addzm.exe

O4 - HKLM\..\RunOnce: [iesb.exe] C:\WINDOWS\system32\iesb.exe

O4 - HKLM\..\RunOnce: [msym32.exe] C:\WINDOWS\msym32.exe

O4 - HKLM\..\RunOnce: [crnk32.exe] C:\WINDOWS\system32\crnk32.exe

O4 - HKLM\..\RunOnce: [appft32.exe] C:\WINDOWS\appft32.exe

O4 - HKLM\..\RunOnce: [crfi32.exe] C:\WINDOWS\crfi32.exe

O4 - HKLM\..\RunOnce: [crfu.exe] C:\WINDOWS\crfu.exe

O4 - HKLM\..\RunOnce: [javawt.exe] C:\WINDOWS\javawt.exe

O4 - HKLM\..\Run: [msjb.exe] C:\WINDOWS\msjb.exe

O4 - HKLM\..\Run: [addzm.exe] C:\WINDOWS\addzm.exe

O4 - HKLM\..\RunOnce: [iesb.exe] C:\WINDOWS\system32\iesb.exe

O4 - HKLM\..\RunOnce: [msym32.exe] C:\WINDOWS\msym32.exe

O4 - HKLM\..\RunOnce: [crnk32.exe] C:\WINDOWS\system32\crnk32.exe

O4 - HKLM\..\RunOnce: [appft32.exe] C:\WINDOWS\appft32.exe

O4 - HKLM\..\RunOnce: [crfi32.exe] C:\WINDOWS\crfi32.exe

O4 - HKLM\..\RunOnce: [crfu.exe] C:\WINDOWS\crfu.exe

O4 - HKLM\..\RunOnce: [javawt.exe] C:\WINDOWS\javawt.exe

O4 - HKLM\..\RunOnce: [apizk32.exe] C:\WINDOWS\apizk32.exe

O4 - HKLM\..\RunOnce: [mszo32.exe] C:\WINDOWS\mszo32.exe

O4 - HKLM\..\RunOnce: [javasq.exe] C:\WINDOWS\javasq.exe

O4 - HKLM\..\RunOnce: [apinl.exe] C:\WINDOWS\system32\apinl.exe

O4 - HKLM\..\RunOnce: [sdkoc.exe] C:\WINDOWS\sdkoc.exe

O4 - HKLM\..\RunOnce: [ievd.exe] C:\WINDOWS\ievd.exe

O4 - HKLM\..\RunOnce: [mfcrn.exe] C:\WINDOWS\mfcrn.exe

O4 - HKLM\..\RunOnce: [d3gf32.exe] C:\WINDOWS\d3gf32.exe

O4 - HKLM\..\RunOnce: [mfcjf32.exe] C:\WINDOWS\mfcjf32.exe

O4 - HKLM\..\RunOnce: [sysan32.exe] C:\WINDOWS\system32\sysan32.exe

O4 - HKLM\..\RunOnce: [addnr32.exe] C:\WINDOWS\system32\addnr32.exe

O4 - HKLM\..\RunOnce: [addgf32.exe] C:\WINDOWS\addgf32.exe

O4 - HKLM\..\RunOnce: [winco32.exe] C:\WINDOWS\winco32.exe

O4 - HKLM\..\RunOnce: [crgs32.exe] C:\WINDOWS\crgs32.exe

O4 - HKLM\..\RunOnce: [sdkii.exe] C:\WINDOWS\system32\sdkii.exe

O4 - HKLM\..\RunOnce: [nttt32.exe] C:\WINDOWS\system32\nttt32.exe



O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)



O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)



O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)



O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)



O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)







Y estas son sospechosas, ver si las conoces, y obrar en consecuencia





O2 - BHO: Class - {0E07F1CC-6044-9AB8-86B3-B33F53CA4787} - C:\WINDOWS\javasp.dll

O2 - BHO: Class - {1C678C96-122A-87F8-5AFD-0FCEB8F0D790} - C:\WINDOWS\system32\netsj.dll

O2 - BHO: Class - {4EF24DB7-3509-B765-D598-CCE2A69F964D} - C:\WINDOWS\system32\javaoc32.dll

O2 - BHO: Class - {513988C2-BD99-0FCD-5C08-EDD564E5F4A8} - C:\WINDOWS\system32\syslr.dll

O2 - BHO: Class - {5E940647-A153-0D81-849D-912EFEE6B0FD} - C:\WINDOWS\apprl.dll

O2 - BHO: Class - {61AF1D4C-8C61-9D8F-CC6D-B83A1702785E} - C:\WINDOWS\mfcbj32.dll

O2 - BHO: Class - {8757DCF3-EDCB-AF1D-2A96-1BA99BF8F486} - C:\WINDOWS\sdkxq.dll

O2 - BHO: Class - {8D1F9E37-0A0E-42B8-D6EE-2A8A3257FE9F} - C:\WINDOWS\iegl32.dll

O2 - BHO: Class - {94BBD54F-3ADB-E43E-5C54-43C21009E5E7} - C:\WINDOWS\system32\addpc.dll

O2 - BHO: Class - {A6B1C2EF-F8D1-58BA-CE88-2F9DA9853AD1} - C:\WINDOWS\sdktf.dll

O2 - BHO: Class - {AE5B7BC1-9D3F-286F-AC0A-AFD0279261F7} - C:\WINDOWS\d3wo32.dll





Y como que las 015 del PROTOCOL DEFAULTS no se dejarán eliminar, bajate el ELIPROTO.ZIP, lo desempaquetas, y con el ELIPROTO.REG que obtendrás, al ejecutarlo con doble click y aceptar los cambios en el registro, cuando finalmente lances un HJT verás que ya se han eliminado estas dichosas 015:





ELIPROTO.ZIP/ELIPROTO.REG

http://www.zonavirus.com/datos/descargas/191/ELIPROTOREG.asp







Tras ello, reinicia y comprueba los resultados, y nos los cuentas como respuesta de este Tema, gracias



saludos



ms, 28-08-2005

[alfermartin]

Parece que ha quedado casi todo solucionado pero al pasar el spybot me sigue saliendo wwwcoolsearch y no puede arreglarlo, así que debe haber algo todavía así que copioel log que tengo ahora. Gracia





Logfile of HijackThis v1.99.1

Scan saved at 19:37:12, on 28/08/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\slserv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkID=8561

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

[msc hotline sat]

En el log del HJT ya no queda nada del PSGUARD, pero se mantienen las 015 PROTOCOL DEFAULTS.



Arranca en modo seguro y lanza el ELIPROTO.REG de nuevo, tanto si lo lanzaste antes como si no.



Las claves que detecta el SPYBOT debe estar fuera del log indicado, ya que el HJT solo muestra un 1 % del registro. En este modo seguro. lanza el SPYBOT y si te las detecta ha de poder eliminarlas.



En cualquier caso ya solo son restos posiblemente inocuos.



saludos



ms, 28-08-2005

[alfermartin]

Hola de nuevo, creo que está todo bien, no obstante el spybot en modo seguro sigue encontrando entradas de wwwcoolwebsearch y no parece poder eliminarlas, no sé si será inocuo o puede volver meter el virus, hay alguna forma de eliminar esas entradas, porque con eliproto o spybot no termina de limpiarlas. Gracias

[msc hotline sat]

Bueno, el EKIPROTO es exclusivamente para eliminar las 015 del PROTOCOL DEFAULTS, si bien a partir de ahota ya lo hemos implementado en el ELISTARA.



Las otras que detecta el SPYBOT es este o el AD-AWARE quienes tienen qie eliminarlas.



DEscargue este ultimo y lancelo en modo seguro, a ver si con él las puede eliminar



saludos



ms, 29-08-2005