Publicidad emergente, no soluciono el problema (solucionado)

KAISER22 · Mensaje por **KAISER22** » 12 Oct 2005, 18:46

Hola a todos!

Soy nuevo en el FORO, gracias por prestarme atención.

Os cuentro mi problema brevemente:

Al descargar un crack para un juego desde una página web y ejecutarlo creo que simultánemente ejecuté lo siguiente: msresearch.exe, conozco el nombre del archivo porque el McAffe no pudo parar su ejecución.

Tras esto tengo el siguiente problema: el ordenador me va mas lento y recibo publicidad emergente no pornográfica, cada ciertos segundos o minutos, através de mis dos navegadores: mozilla firefox e internet explorer. Además mediante macrodemia flash también recibo publicidad. Este sucede tanto teniendo el navegador en funcionamiento como teniédolo sin ejecutar.

Bien, pues seguí todos los pasos para desinfectar lo que tuviera y no ha dado resultado. He usado el Ad Aware actualizado el Spybot, el Microsoft Antispyware... y nada de nada. Finalmente instalé el HitackThis 1.99.1 para que observeis mi log y me deis una solución a este molesto problema.

Ahí va:

Logfile of HijackThis v1.99.1

Scan saved at 18:18:50, on 12/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\ewido\security suite\ewidoguard.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Familia Rivas\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116242389500

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\system32\p28qlcl51fq.dll

O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\jrl0253mg.dll

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Espero respuesta urgentemente, llevo jodido desde ayer por la mañana. Un saludo y gracias nuevamente! :D

Mensaje por **msc hotline sat** » 12 Oct 2005, 19:20

Solo hay tres claves sospechosas o desconocidas, mira si las has instalado voluntariamente y sino, obra en consecuiencia:

olo tienes estas tres claves sospechosas o desconocidas:

O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\system32\p28qlcl51fq.dll

O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\jrl0253mg.dll

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Aparte, desaconsejamos la instalacion de cracks, primero por atentar contra el copyrigth de aplicaciones, aunque sean juegos, y en segundo lugar por poder ocasionar incidentes como este.

Los cracks no son virus no troyanos, sino aplicaciones que no tienen porque aparecer en el log del HJT, y que McAfee puede detectar como aplicaciones potencialmente peligrosas, pero solo para informacion, no eliminacion al no tratarse de un virus.

Mira si en Panel de Control -> Agregar o Quitar Programas aparece alguna instalacion al respecto, y si es asi trata de desinstalarla.

Sino, prueba con el BUSCAREG, entrando el nom,bre del fichero MSRESEARCH.EXE para eliminar las claves que lo llamen:

[size=150][color=darkblue]~~[b]~~BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

[url=http://www.zonavirus.com/descargas/buscareg.asp]~~[b]~~Descargar BuscaReg[/b][/url]

saludos

ms, 12-10-2005

KAISER22 · Mensaje por **KAISER22** » 12 Oct 2005, 20:19

Buenas!

Gracias por responder tan rápido, de las tres claves sospechosas he eliminado la tercera:

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Eliminando directamente el Alcohol 120.

Pero el problema persiste, sigue apareciendo publcidad cuando le de la gana y donde quiere, como esta web por ejemplo:

http://www214.paypopup.com/links.php?data=rSe_2%2F%FE%2A3%262%FD.%2C%27%24S%5C77sX%5CfZUKj_%FEq_ZcY%3B%7B%2B1-0%F3lcY%3B%FE%29%2C.%2F%7D%280%270&serverfile=popdirect&id=BundleWare&subid=23782&tid=1129140622&clater=&m=127&o=1&c=1&a=32767&q=6&s=%3C%3D&ah=10&al=0&l=english&campaign=&rurl=&defurl=

http://www.mega-savings.com/normal/yyy34.html

He instalado el BUSCAREG, he probado a buscar MSRESEARCH.EXE y no aparece nada.

Aquí dejo nuevamente mi log para ver si ha cambiado algo y se le pude dar solución al problema:

Logfile of HijackThis v1.99.1

Scan saved at 20:07:48, on 12/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\ewido\security suite\ewidoguard.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\rundll32.exe

C:\Documents and Settings\Familia Rivas\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116242389500

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\p4p60e7seh.dll

O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\system32\p28qlcl51fq.dll

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Gracias y espero que me sigais echando un cable, un saludo!

Mensaje por **maura63** » 12 Oct 2005, 20:50

Te quedan tres claves desconocidas

O4 - Global Startup: BTTray.lnk = ? -

O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\p4p60e7seh.dll -

O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\system32\p28qlcl51fq.dll -

Elimina.

Saludos

maura63

Mensaje por **maura63** » 12 Oct 2005, 20:54

Prueba tambien de usar esta utilidad

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Saludos

maura63

KAISER22 · Mensaje por **KAISER22** » 12 Oct 2005, 21:33

Hola!

El problema sigue, no se ha solucionado, j**e!

De las últimas tres claves que nombró "maura63":

- O4 - Global Startup: BTTray.lnk = ? -, esto es el Bluetooth al inico, inofensivo.

- O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\p4p60e7seh.dll -, borrado.

- O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\system32\p28qlcl51fq.dll -, borrado.

He probado también EliStarA y he eliminado ciertos archivos pero no elimina la continua publicidad, sin ir más lejos escribiendo este mensaje aparace la página de publicidad y tengo que pulsar "ir a la página anterior" para volver al mensaje.

Nuevamente cito mi log:

Logfile of HijackThis v1.99.1

Scan saved at 21:32:05, on 12/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\ewido\security suite\ewidoguard.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Familia Rivas\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116242389500

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\lv4q09h5e.dll

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Un saludo! Espero poder solucionarlo con vuestra ayuda, gracias!

Mensaje por **maura63** » 12 Oct 2005, 21:50

Desactiva la restauracion del sistema, apagas , y enciendes en modo seguro TECLA f8 y pasas ELISTARA.

Saludos

maura63

KAISER22 · Mensaje por **KAISER22** » 12 Oct 2005, 22:54

Buenas noches!

Acabo de hacer lo ultimo que indicaba maura63, y el problema no ha sido solucionado. A los pocos minutos de iniciar Windows salta la jodida publicidad.

Este es mi último log:

Logfile of HijackThis v1.99.1

Scan saved at 22:53:24, on 12/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\ewido\security suite\ewidoguard.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Familia Rivas\Escritorio\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116242389500

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\m4jule191h.dll

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Alguna solución innovadora??? Gracias a todos, un saludo!

jacotasa · Mensaje por **jacotasa** » 13 Oct 2005, 05:30

Mira, prueba entrando en Modo Seguro...

Pero antes, Actualiza tu Antivirus y descárgate el [url=http://www.zonavirus.com/descargas/spybot-sd.asp]~~[b]~~SpyBot Search & Destroy[/b][/url] y lo actualizas (si no tienes otro AntiSpyWare te recomiendo ese).

Además te descargas estas dos utilidades [url=http://www.zonavirus.com/descargas/elistara.asp]~~[b]~~EliStarA[/b][/url] y el [url=http://www.zonavirus.com/descargas/elitriip.asp]~~[b]~~EliTriIP[/b][/url].

Ya armado de esto entonces si, reinicias tu equipo y presionando F8 hasta que aparezca el menú que te permita Iniciar en Modo Seguro.

En este modo, quitas la restauración del sistema, borras los archivos temporales, corres tu Antivirus, el SpyBot y las dos Utilidades que te mencioné EliStarA y EliTriIP.

~~[b]~~Borras lo que te detecten[/b] y reinicias de nuevo en modo seguro, solo para verificar con el HijackThis si quedó alguna de las entradas que te hayan detectado las herramientas anteriores.

Esto va a tardar algo de tiempo, así es que nos cuentas como te fue como respuesta a este Tema.

Mensaje por **flacoroo** » 13 Oct 2005, 15:36

Ademas de lo que te dicen los demas Moderadores y foreros...haz lo siguientes cuando estes en Modo Seguro....

abre el SPybot actualizado....

ir menu Modo

avanzados

habilitar de lado derecho todas las opciones...

escoges Informacion de desinstalacion y de ahi eliminas todos los programas que te estan afectando...des barras de herramientas hasta crack´s y si encuentras abajo de tus actualizaciones de windows cadenas sola con muchos numeros y letras pero que no hagan referencia a algun programa lo puedes eliminar....OJO solo las que estan abajo de las actualizaciones y cadenas solas.....

escoger Inicio del sistema

darle un click de lado derecho en una imagen que parece un pequeño teclado

ahora de arriba abajo de todos los archivos que salen ahi, ve checando de acuerdo a la informacion que sale si es peligroso o no...de lado derecho te saldra en donde dice base de datos....deja habilitados los que te dicen ENTRADA HABITUAL, DEPENDE DE LA PREFERENCIA DEL USUARIO Y LOS QUE NO TE SALGAN INFORMACION (si sabes que es y no lo necesitas lo puedes deshabilitar) y deshabilita o borras todos los que digan VIRUS,TROYANO, INNECESARIO,ETC..tambien puedes deshabilitar y no borrar todos los que te digan NO NECESARIO...

de ahi terminas y vas Partes internas que es la que esta arriba de Inicio del sistema....le das comprobar y eliminas todo lo que te salga donde dice reparar y despues te saldra una opcion de eliminar o borrar...

despues de terminar te vas a la siguiente pestaña BHO´s y eliminas todas las entradas que NO estan en verde al igual que en la siguiente pestaña ActiveX e igual eliminas todas las que no estan en verde...despues ahora si examina tu computadora corriendo el SPYBOT.....

nos dices como te fue....

KAISER22 · Mensaje por **KAISER22** » 14 Oct 2005, 16:04

Buenas!

Tras probar las últimas recomendaciones, el problemas sigue sin ser solucionado, no doy con la solución.

Este es mi último log:

Logfile of HijackThis v1.99.1

Scan saved at 15:56:47, on 14/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\ewido\security suite\ewidoguard.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Familia Rivas\Escritorio\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116242389500

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\j20s0cd7ef0.dll

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Gracias, espero alguna respuesta. Un saludo!

Mensaje por **msc hotline sat** » 14 Oct 2005, 16:18

Solo hay esta clave desconocida:

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\j20s0cd7ef0.dll

Si sabes lo que es, (voluntaria), listos, sino eliminala.

saludos

ms, 14-10-2005

carolxsiempre · Mensaje por **carolxsiempre** » 14 Oct 2005, 16:41

De paso unido a todo lo antes recomendado, has verificado que muestres todos los archivos y carpetas ocultos?.

Podría ser que no sea así y que por eso no veamos lo que te afecte.

Verifica eso y si no los muetras pega de nuevo el log.

Saludos

Carolxsiempre

KAISER22 · Mensaje por **KAISER22** » 14 Oct 2005, 18:20

Hola!

esta clave desconocida, no creo que sea el problema:

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\j20s0cd7ef0.dll

La he analizado y nada de nada.

Si tengo activo en opciones de carpeta que muestre todos los archivos y carpetas ocultos.

Empiezo a estar desesperado.

Algún consejo más? Gracias

Mensaje por **maura63** » 14 Oct 2005, 18:22

Mira en agregar o quitar programas si tienes algo extraño.

Saludos

maura63

Mensaje por **msc hotline sat** » 14 Oct 2005, 18:28

Y puestos a decir, como que agora hay troyanos que ocyltan sys claves, procesos y ficheros cuando estan en uso, lamza el HJT arrancando en modo seguro, poe su fuyera uno de estos ultimos, como el adware Navipromo, ya controlado por el ELISTARA, el cual recomoedo pruebes trambien.

saludos

ms, 14-10-2005

KAISER22 · Mensaje por **KAISER22** » 15 Oct 2005, 00:10

Buenas noches!

Sigo sin solucionar la publicidada emergente, no paro de hacer todo lo que me recomendais y nada de nada, j**e!

Mi último log en modo seguro:

Logfile of HijackThis v1.99.1

Scan saved at 23:59:19, on 14/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Documents and Settings\Familia Rivas\Escritorio\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\gpp4l37q1.dll

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Saludos! Gracias!

Mensaje por **maura63** » 15 Oct 2005, 14:49

Esto que es :?:

O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\gpp4l37q1.dll

Elimina

Saludos

maura63

KAISER22 · Mensaje por **KAISER22** » 15 Oct 2005, 15:59

Hola!

Con el Spybot, en opciones avanzadas, he podido ver mi lista de procesos, esta es:

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)

2005-05-31 SpybotSD.exe (1.4.0.3)

2005-05-31 TeaTimer.exe (1.4.0.2)

2005-10-11 unins000.exe (51.41.0.0)

2005-05-31 Update.exe (1.4.0.0)

2005-05-31 advcheck.dll (1.0.2.0)

2005-05-31 aports.dll (2.1.0.0)

2005-05-31 borlndmm.dll (7.0.4.453)

2005-05-31 delphimm.dll (7.0.4.453)

2005-05-31 SDHelper.dll (1.4.0.0)

2005-05-31 Tools.dll (2.0.0.2)

2005-05-31 UnzDll.dll (1.73.1.1)

2005-05-31 ZipDll.dll (1.73.2.0)

2005-10-07 Includes\Cookies.sbi

2005-10-07 Includes\Dialer.sbi

2005-10-07 Includes\Hijackers.sbi

2005-10-07 Includes\Keyloggers.sbi

2005-10-07 Includes\Malware.sbi

2005-10-07 Includes\PUPS.sbi

2005-10-07 Includes\Revision.sbi

2005-10-07 Includes\Security.sbi

2005-10-07 Includes\Spybots.sbi

2005-02-17 Includes\Tracks.uti

2005-10-07 Includes\Trojans.sbi

PID: 0 ( 0) [System]

PID: 488 ( 4) \SystemRoot\System32\smss.exe

PID: 568 ( 488) \??\C:\WINDOWS\system32\winlogon.exe

PID: 612 ( 568) C:\WINDOWS\system32\services.exe

size: 108544

MD5: F9852F505E0699BB83D5C6321917040B

PID: 624 ( 568) C:\WINDOWS\system32\lsass.exe

size: 13312

MD5: 2B0B88652C9F6714FD4886839B3B0442

PID: 776 ( 612) C:\WINDOWS\system32\svchost.exe

size: 14336

MD5: FA03E1FC17F38FBDBA81470D08B3E416

PID: 916 ( 612) C:\WINDOWS\System32\svchost.exe

size: 14336

MD5: FA03E1FC17F38FBDBA81470D08B3E416

PID: 1276 ( 568) C:\WINDOWS\system32\rundll32.exe

size: 33280

MD5: 3175EB8EF1C6C38F440FCB2D1403B823

PID: 1356 ( 612) C:\WINDOWS\system32\spoolsv.exe

size: 57856

MD5: DA81EC57ACD4CDC3D4C51CF3D409AF9F

PID: 1600 (1536) C:\WINDOWS\Explorer.EXE

size: 1034752

MD5: 89C8DD146CEAF482D82822766437D93F

PID: 1676 ( 612) C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

size: 135168

MD5: 828A6EA73F6FC0B06BBCCE49B55F7BC8

PID: 1744 ( 612) C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

size: 16448

MD5: 867D9D1FA818F8629BB7A4A26E94B06A

PID: 1764 ( 612) C:\Archivos de programa\ewido\security suite\ewidoguard.exe

size: 163904

MD5: 13EE66A939D7C3A2ED62C967DEBD52BB

PID: 1824 ( 612) C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

size: 102463

MD5: A80F0E7DC789150C3AE4F504E3B96B06

PID: 1896 ( 612) C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

size: 221191

MD5: FE7985DAE11FA70829762C5AF39DBB27

PID: 1924 ( 612) C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

size: 28672

MD5: DAE0D925FA8D4AEC46E924A136B93A32

PID: 208 ( 612) C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

size: 45056

MD5: 3978F082274F723AD5A0A8058C2417DD

PID: 360 ( 612) C:\WINDOWS\system32\svchost.exe

size: 14336

MD5: FA03E1FC17F38FBDBA81470D08B3E416

PID: 2552 (2544) C:\WINDOWS\system32\javaw.exe

size: 49250

MD5: 79FB58262A4CF1D83D70539C2A8B1FA0

PID: 3708 ( 568) C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

size: 6637161

MD5: 9E88F353780465373CE7D48B67557376

PID: 2736 (1600) C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

size: 4393096

MD5: 09CA174A605B480318731E691DC98539

PID: 4 ( 0) System

PID: 544 ( 488) csrss.exe

PID: 852 ( 612) svchost.exe

PID: 964 ( 612) svchost.exe

PID: 1044 ( 612) svchost.exe

PID: 1636 ( 612) svchost.exe

PID: 2028 ( 776) naPrdMgr.exe

PID: 424 ( 612) wdfmgr.exe

PID: 2232 ( 612) alg.exe

PID: 3164 (1600) C:\WINDOWS\system32\Notepad.exe

size: 70144

MD5: D9759A5721C4213E558F1DC7A8B06B28

Veis algo sospechoso? un saludo! gracias!

KAISER22 · Mensaje por **KAISER22** » 17 Oct 2005, 00:02

Buenas!

Solucionado el problema, tenía el Spyware.Look2Me, seguí las indicaciones del Foro Spyware Oficial de HijackThis y lo eliminé definitivamente.

Gracias a todos los que me han ayudado.

Un saludo!

jacotasa · Mensaje por **jacotasa** » 17 Oct 2005, 03:39

¿Porqué no nos compartes cuales fueron esas indicaciones?, estoy interesado en que fue lo que por fin te llevó a dar con el problema que tenías y su satisfactoria eliminación.

Espero no te sea muy molesto y nos compartas que fue lo que pasó.

Saludos.

KAISER22 · Mensaje por **KAISER22** » 17 Oct 2005, 22:13

Hola!

Concretamente utlicé las siguientes herramientas para su eliminación:

* HijackThis

* CWShredder

* VX2Finder(126)

* vx2cleaner_inst, complemento del Ad-Aware

* kill2me

____________________________________

Intervencion de zonavirus: Ya en este foro hay la suficiente informacion para eliminar facilmente el LOOK2ME , desinstalandolo adecuadamente:

http://www.zonavirus.com/datos/articulos/183/Como_eliminar_spyware_Look2Me.asp

__________________________________

Gracias de todos modos por vuestro consejos y tiempo.

Un saludo!!!!

Mensaje por **maura63** » 18 Oct 2005, 08:57

Pues nos alegramos de ello y solucionado el tema lo cerramos.

Saludos

maura63

Publicidad emergente, no soluciono el problema (solucionado)

Publicidad emergente, no soluciono el problema (solucionado)

Armate de las siguientes herramientas

Problema Solucionado!!!