ayuda virus, espias, toolbar.......

hechicera · Mensaje por **hechicera** » 28 Sep 2005, 23:51

Estoy desesperada y necsito ayuda por favor, casi no puedo usar el pc porque esta lleno de todo y no me deja trabajar, aqui os pongo mi log por si me podeis ayudar, muchas gradcias de antemano

Logfile of HijackThis v1.99.1

Scan saved at 23:19:16, on 28/09/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\Media Access\MediaAccK.exe

C:\WINDOWS\etb\pokapoka70.exe

C:\Program Files\Media Access\MediaAccess.exe

C:\Archivos de programa\Java\jre1.5.0_02\bin\jucheck.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

c:\windows\system32\zdkopr.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\pmlpucy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ya.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\no-spy.exe" /autorun

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitesxf32.exe

O4 - HKLM\..\Run: [lsass] C:\windows\system32\eliteotd32.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [dqfsygt] c:\windows\system32\zdkopr.exe r

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.yatv.com/activex/zylomgamesplayer.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B6C6F86-B9F4-4B83-B91C-5E68E60296BF}: NameServer = 62.151.2.8,62.151.8.100

O17 - HKLM\System\CS1\Services\Tcpip\..\{1B6C6F86-B9F4-4B83-B91C-5E68E60296BF}: NameServer = 62.151.2.8,62.151.8.100

O17 - HKLM\System\CS2\Services\Tcpip\..\{1B6C6F86-B9F4-4B83-B91C-5E68E60296BF}: NameServer = 62.151.2.8,62.151.8.100

O17 - HKLM\System\CS3\Services\Tcpip\..\{1B6C6F86-B9F4-4B83-B91C-5E68E60296BF}: NameServer = 62.151.2.8,62.151.8.100

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Mensaje por **msc hotline sat** » 29 Sep 2005, 05:33

Se mueve este Tema al apartado de analisis de Hijackthis que es donde le corresponde, y alli seguiremos

saludos

ms, 29-09-2005

Mensaje por **msc hotline sat** » 29 Sep 2005, 06:10

Ante todo, descarga el ELISTARA.EXE:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Luego arranca en modo seguro, deshabilita la restauracion de sistema y lanza el ELISTARA, y a continuacion, en este mismo modo, abres el HJT y marcar las siguientes claves, y eliminarlas con FIX

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe

O4 - HKLM\..\Run: [dqfsygt] c:\windows\system32\zdkopr.exe r

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

y luego copia los ficheros que llaman dichas claves (los que aparecen al final de cada una) a un disquete, y los borras del disco duro

Luego arrancas normal y nos los envias a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques como referencia "REF ZDKOPR" para que podamos contestarte como respuesta de este Tema, e indicarte la utilidad que conviene que pases para terminar la limpieza, ya que habrá otras claves en el registro, que no aparecen en el log del HJT, que deben retaurarse

Por otro lado, tye faltan todos los parches de microsoft !!! No tienes ni el SP1 ...

Empieza por instalarlo, como se te indica a continuacion , y tras ello lanza un windowsupdate para instalar el SP2 y parches posteriores.

___________________

INSTALACION DEL SP1 DEL XP PARA PODER INSTALAR EL SP2: (O SEGUIR CON EL WINDOWSUPDATE)

http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx

(SE DEBE ESCOGER IDIOMA...)

____________________

Tras lo indicado, reinicia y dinos si se han terminado las anomalias, como respuesta de este Tema, gracias

saludos

ms, 29-09-2005

NOTA: Hay otras dos claves desconocidas. Mira si las conoces, y sino, eliminalas y envianos tambien los ficheros y después bórralos.

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitesxf32.exe

O4 - HKLM\..\Run: [lsass] C:\windows\system32\eliteotd32.exe

saludos

ms, 29-09-2005