mi logfile de HJT... ayuda por favor * (SOLUCIONADO)

agustingarcia8 · Mensaje por **agustingarcia8** » 30 Sep 2005, 19:17

Hola. Tengo 4 problemas con mi PC y por lo que he leído parece que el HJT podría ayudarme a reolver alguno.

Ocurre que:

1. tengo en Norton 2005 y me aparece un mensaje que dice que ha borrado el archivo rdriv.sys porque detectó un virus. El problema es que cuando acepto el cartel vuelve a aparecer y no lo puedo sacar;

2. cuando cierro mi sesión, aparecen dos carteles, que dicen que tengo que esperar a que se finalicen las aplicaciones ccApp y ISTsvcWND. La primera se finaliza, aunque no es normal que aparezca ese cartel, y la segunda dice que no responde y tengo que elegir "Finalizar ahora";

3. se me abren muchas ventanas de publicidad, de páginas que no conozco (como nullsoft.com) y aparecen pedidos de aceptación para instalar sofwares que no deseo y no he pedido.

En fin, espero que me ayuden a que mi PC pueda volver a la normalidad, éste es el logfile de HJT:

Logfile of HijackThis v1.99.1

Scan saved at 01:59:14 p.m., on 30/09/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\ISTsvc\istsvc.exe

C:\WINDOWS\skqytb.exe

C:\Documents and Settings\AGUSTIN\Internet Optimizer\optimize.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\dlxx.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\McAfeeMNGR.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\javapanel.exe

C:\WINDOWS\cpanelx.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\aroo\utpu.exe

C:\WINDOWS\system32\cmd.exe

C:\Archivos de programa\UnHackMe\hackmon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Mis descargas\HJ\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.ampmsearch.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ampmsearch.com/sp2.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.ampmsearch.com/sp2.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)

O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll (file missing)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Archivos de programa\YourSiteBar\ysb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe

O4 - HKLM\..\Run: [MSWindows SysCl] mswrbswin32.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe

O4 - HKLM\..\Run: [Microsoft Update 32] windowps.exe

O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [IST Service] C:\Archivos de programa\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [ax8sOuGB] C:\WINDOWS\skqytb.exe

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Documents and Settings\AGUSTIN\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [McAfee Control Manager] McAfeeMNGR.exe

O4 - HKLM\..\Run: [REGRUNS] C:\dlxx.exe

O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe

O4 - HKLM\..\RunServices: [MSWindows SysCl] mswrbswin32.exe

O4 - HKLM\..\RunServices: [Microsoft Update 32] windowps.exe

O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif

O4 - HKLM\..\RunServices: [McAfee Control Manager] McAfeeMNGR.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe

O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Darm] "C:\Archivos de programa\aroo\utpu.exe" -vt mt

O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Archivos de programa\UnHackMe\hackmon.exe

O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/056fe5e418e09b315822/netzip/RdxIE601_es.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c4.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5044

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe

O23 - Service: cpanelx (Microsoft Control Panel) - Unknown owner - C:\WINDOWS\cpanelx.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SCSMS32 (SCSMS) - Unknown owner - C:\WINDOWS\scmsm32.exe (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe (file missing)

O23 - Service: Windows 32 Bit (Windows 32 Bit Drivers) - Unknown owner - C:\WINDOWS\WinVid32.exe

O23 - Service: Windows Debugger - Unknown owner - C:\WINDOWS\sysnt.exe (file missing)

O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe (file missing)

Muchas gracias,

Agustín.

Mensaje por **maura63** » 30 Sep 2005, 22:13

Pasa estas dos utilidades

UTILIDADES

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Luego conecta via winsows update y actualiza.

Saludos

maura63

agustingarcia8 · Mensaje por **agustingarcia8** » 02 Oct 2005, 19:00

Hola: Gracias por responder y por hacerlo tan rápidamente.

Los problemas persisten: ya no el de ISTsvcWND pero sí el de ccApp (cuando finalizo mi sesión me aparece un cartel que dice que se está cerrando) y el rdriv.sys. Este último es el más molesto: Norton me dice que encontró un virus y lo eliminó pero cuando acepto vuelve a aparecer y asívtengo que trabajar con ese cartel en la pantalla.

Corrí las dos aplicaciones sugeridas (EliTriIp, EliStarA) pero tuve prblemas en Windows Update: me aparece un código de error que en la página dice que se soluciona agregando BITS en "información del valor" en "netsvcs", luego de ejecutar REGEDIT, pero esto no sé como hacerlo.

¿Esto va a terminar de resolver el problema de rdriv.sys?

Gracias,

Agustín.

Mensaje por **maura63** » 03 Oct 2005, 11:48

Pues si que tienes una buena coleccion de intrusos, por ejemplo

O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe [color=red]W32/RBOT-PN WORM[/color]

O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe [color=red]Trojan-Downloader [/color]

O4 - HKLM\..\Run: [IST Service] C:\Archivos de programa\ISTsvc\istsvc.exe [color=red]ISTBar foistware [/color]

[color=darkblue]Desactiva la restauracionn del sistema y arranca en modo seguro, pasa ELITRIP, ELISTARA, Spybot y Ad_aware y tu antivirus.[/color]

Luego conecta via windows update y actualiza.

Despues de pasar las utilidades y antivirus vuelve a pegarnos un nuevo log.

Saludos

maura63

agustingarcia8 · Mensaje por **agustingarcia8** » 04 Oct 2005, 09:16

Seguí las instrucciones y acá está mi nuevo logfile de HJT:

Logfile of HijackThis v1.99.1

Scan saved at 04:10:40 a.m., on 04/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\javapanel.exe

C:\WINDOWS\cpanelx.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\WinVid32.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\dlxx.exe

C:\WINDOWS\System32\aimplugin.exe

C:\WINDOWS\System32\wupdates.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\System32\McAfeeMNGR.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\Archivos de programa\UnHackMe\hackmon.exe

C:\WINDOWS\System32\aimplugin.exe

C:\Archivos de programa\aroo\utpu.exe

C:\Mis descargas\HJ\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [MSWindows SysCl] mswrbswin32.exe

O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [McAfee Control Manager] McAfeeMNGR.exe

O4 - HKLM\..\Run: [REGRUNS] C:\dlxx.exe

O4 - HKLM\..\Run: [Aim Plugin] C:\WINDOWS\System32\aimplugin.exe

O4 - HKLM\..\Run: [Microsoft Corp Updates] wupdates.exe

O4 - HKLM\..\Run: [bZ0TFVa] C:\WINDOWS\cpfxo.exe

O4 - HKLM\..\Run: [bZ0TFV÷h$vùõš/‚²ÆC:\Archivos de programa\ISTsvc\istsvc.exe] C:\WINDOWS\cpfxo.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunServices: [MSWindows SysCl] mswrbswin32.exe

O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif

O4 - HKLM\..\RunServices: [McAfee Control Manager] McAfeeMNGR.exe

O4 - HKLM\..\RunServices: [Aim Plugin] C:\WINDOWS\System32\aimplugin.exe

O4 - HKLM\..\RunServices: [Microsoft Corp Updates] wupdates.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Archivos de programa\UnHackMe\hackmon.exe

O4 - HKCU\..\Run: [Aim Plugin] C:\WINDOWS\System32\aimplugin.exe

O4 - HKCU\..\Run: [Darm] "C:\Archivos de programa\aroo\utpu.exe" -vt mt

O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab

O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/056fe5e418e09b315822/netzip/RdxIE601_es.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128194101828

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c4.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe

O23 - Service: cpanelx (Microsoft Control Panel) - Unknown owner - C:\WINDOWS\cpanelx.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SCSMS32 (SCSMS) - Unknown owner - C:\WINDOWS\scmsm32.exe (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe (file missing)

O23 - Service: Windows 32 Bit (Windows 32 Bit Drivers) - Unknown owner - C:\WINDOWS\WinVid32.exe

O23 - Service: Windows Debugger - Unknown owner - C:\WINDOWS\sysnt.exe (file missing)

O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe (file missing)

Espero que se puedan resolver todos los problemas, agradezco muchísimo la ayuda que me están brindando.

Agustín.

Mensaje por **maura63** » 04 Oct 2005, 09:31

C:\WINDOWS\javapanel.exe -

C:\WINDOWS\cpanelx.exe -

C:\WINDOWS\WinVid32.exe -

C:\dlxx.exe -

C:\WINDOWS\System32\aimplugin.exe -

C:\WINDOWS\System32\wupdates.exe -

C:\WINDOWS\System32\McAfeeMNGR.exe -

Has pasado antivirus, las utilidades y antispyware arrancnado en modo seguro y desactivando antes la restauracion?

Te sobra

C:\Archivos de programa\UnHackMe\hackmon.exe -

C:\WINDOWS\System32\aimplugin.exe -

C:\Archivos de programa\aroo\utpu.exe -

O4 - HKLM\..\Run: [MSWindows SysCl] mswrbswin32.exe -

O4 - HKLM\..\Run: [MSDOS Security Service] msdos.pif -

O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe -

O4 - HKLM\..\Run: [McAfee Control Manager] McAfeeMNGR.exe -

O4 - HKLM\..\Run: [REGRUNS] C:\dlxx.exe -

O4 - HKLM\..\Run: [Microsoft Corp Updates] wupdates.exe -

O4 - HKLM\..\Run: [bZ0TFVa] C:\WINDOWS\cpfxo.exe -

O4 - HKLM\..\Run: [bZ0TFV÷h$vùõš/‚²ÆC:\Archivos de programa\ISTsvc\istsvc.exe] C:\WINDOWS\cpfxo.exe -

O4 - HKLM\..\RunServices: [MSWindows SysCl] mswrbswin32.exe -

O4 - HKLM\..\RunServices: [MSDOS Security Service] msdos.pif -

O4 - HKLM\..\RunServices: [McAfee Control Manager] McAfeeMNGR.exe -

O4 - HKLM\..\RunServices: [Microsoft Corp Updates] wupdates.exe -

O4 - HKCU\..\Run: [MSDOS Security Service] msdos.pif -

O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Archivos de programa\UnHackMe\hackmon.exe

O4 - HKCU\..\Run: [Darm] "C:\Archivos de programa\aroo\utpu.exe" -vt mt

O4 - HKCU\..\RunServices: [MSDOS Security Service] msdos.pif

O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab

O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://216.127.33.119/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c4.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe

O23 - Service: cpanelx (Microsoft Control Panel) - Unknown owner - C:\WINDOWS\cpanelx.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: SCSMS32 (SCSMS) - Unknown owner - C:\WINDOWS\scmsm32.exe (file missing)

Comprueba las aplicacioanes por si alguna (s) te son conocidas, de no ser asi elimina.

Conecta con windows update y trata de actualizar.

Saludos

maura63

agustingarcia8 · Mensaje por **agustingarcia8** » 06 Oct 2005, 23:05

Por ahora no puedo actualizar en Windows Update por un problema de validación o algo así.. creo que voy a poder hacerlo en unos días.

Volví a pasar las utilidades recomendadas en modo seguro, previa desactivación de la restauración del sistema, y aquí está mi log de HJT. La vez anterior no había utilizado correctamente el Spybot, perdón.

Bueno, agradezco las respuestas y espero que podamos solucionar todo.

Saludos,

Agustín.

Logfile of HijackThis v1.99.1

Scan saved at 05:57:12 p.m., on 06/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\cpanelx.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\msact1.exe

C:\WINDOWS\System32\wupdates.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\msact1.exe

C:\WINDOWS\System32\wupdates.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\aimplugin.exe

C:\WINDOWS\System32\rundll32.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\WINDOWS\System32\aimplugin.exe

C:\ARCHIV~1\Greatis\REGRUN~1\WatchDog.exe

C:\Archivos de programa\aroo\utpu.exe

C:\Mis descargas\HJ\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Microsoft Corp Updates] wupdates.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [REG2RUN] C:\msact1.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Aim Plugin] C:\WINDOWS\System32\aimplugin.exe

O4 - HKLM\..\Run: [bZ0TFV÷h$vùõš/‚²ÆC:\Archivos de programa\ISTsvc\istsvc.exe] C:\WINDOWS\cpfxo.exe

O4 - HKLM\..\RunServices: [Microsoft Corp Updates] wupdates.exe

O4 - HKLM\..\RunServices: [Aim Plugin] C:\WINDOWS\System32\aimplugin.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Aim Plugin] C:\WINDOWS\System32\aimplugin.exe

O4 - HKCU\..\Run: [Regrun2] C:\ARCHIV~1\Greatis\REGRUN~1\WatchDog.exe

O4 - HKCU\..\Run: [Darm] "C:\Archivos de programa\aroo\utpu.exe" -vt mt

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/056fe5e418e09b315822/netzip/RdxIE601_es.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128194101828

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c4.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5044

O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: cpanelx (Microsoft Control Panel) - Unknown owner - C:\WINDOWS\cpanelx.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SCSMS32 (SCSMS) - Unknown owner - C:\WINDOWS\scmsm32.exe (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe (file missing)

O23 - Service: Windows Debugger - Unknown owner - C:\WINDOWS\sysnt.exe (file missing)

O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe (file missing)

Mensaje por **maura63** » 06 Oct 2005, 23:18

Tienes tu antivirus y antispyware actualizados y pasados en modo seguro y la restauracion del sistema deshabilitada.....

Tambien el elistara y elitrip y despues de ello actualizar parches de microsof.

Saludos

maura63 y bon nuit

agustingarcia8 · Mensaje por **agustingarcia8** » 15 Oct 2005, 00:25

Hola. Pude actualizar Windows y, salvo por eventuales mensajes de Norton que dicen que se encontró y fue eliminado un virus, el único (parece) problema que persiste es que cada vez que inicio sesión se abre la página "www.nullroot.net". ¿Se puede arreglar esto? Por las dudas, un nuevo log. Muchísimas gracias por la ayuda que me han brindado, estoy muy feliz con eso.

Agustín

Logfile of HijackThis v1.99.1

Scan saved at 07:14:41 p.m., on 14/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\msact1.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\rundll32.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\wupdates.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\ctfmon.exe

C:\ARCHIV~1\Greatis\REGRUN~1\WatchDog.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\eMule\emule.exe

C:\Mis descargas\HJ\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Microsoft Corp Updates] wupdates.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [REG2RUN] C:\msact1.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [bZ0TFV÷h$vùõš/‚²ÆC:\Archivos de programa\ISTsvc\istsvc.exe] C:\WINDOWS\cpfxo.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\RunServices: [Microsoft Corp Updates] wupdates.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Regrun2] C:\ARCHIV~1\Greatis\REGRUN~1\WatchDog.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/056fe5e418e09b315822/netzip/RdxIE601_es.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128194101828

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c46.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5044

O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SCSMS32 (SCSMS) - Unknown owner - C:\WINDOWS\scmsm32.exe (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe (file missing)

O23 - Service: Windows Debugger - Unknown owner - C:\WINDOWS\sysnt.exe (file missing)

O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe (file missing)

Mensaje por **msc hotline sat** » 17 Oct 2005, 15:42

Y lance de nuevo el HiJackThis y marque estas claves y eliminelas con FIX:

O4 - HKLM\..\Run: [bZ0TFV÷h$vùõš/‚²ÆC:\Archivos de programa\ISTsvc\istsvc.exe] C:\WINDOWS\cpfxo.exe

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5044

O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe (file

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32

O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe (file missing)

O23 - Service: Windows Debugger - Unknown owner - C:\WINDOWS\sysnt.exe (file missing)

Y no se olvide de actualizar los parches lanzando un windowsupdate, pues le faltan actualizaciones !!!

Saludos

ms, 17-10-2005

agustingarcia8 · Mensaje por **agustingarcia8** » 25 Oct 2005, 00:19

Hola. Bueno, como he dicho antes, los problemas de virus o intrusos que tenía parecen haberse solucionado, y he podido actualizar Windows. Me ha surgido ahora un nuevo problema, más grave por lo menos en lo inmediato: no puedo conectarme a internet. Tengo una conexión por cable de 256K y parece que algún programa está bloqueando el puerto del internet explorer (puerto 80). Esto me lo dijeron desde el servivio técnico, tras hacerme tipear en ejecutar "cmd" y después "telnet http://www.algunapagina... 80" y ahí aparece un mensaje de error del puerto 80. Cualquier otra cosa que tenga que ver con internet tampoco la puedo hacer, como utilizar serviuvios de mensajería instantánea o de compartir archivos. Una cosa que no puedo hacer es desactivar el firewall de windows, que se me instaló con las actualizaciones junto con un "centro de control". En realidad en este último dice que está activado pero en la ventana del firewall aparece desactivado y no se puede cambiar a otra opción, todas aparecen en un segundo plano.

Por las dudas, les envío un nuevo log de HJT, no sé si esto les sirve. Confío en su respuesta como antes, necesito su ayuda.

Muchas gracias,

Agustín.

Logfile of HijackThis v1.99.1

Scan saved at 06:59:24 p.m., on 24/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\msact1.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\wupdates.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\win32lib.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Mis descargas\HJ\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Microsoft Corp Updates] wupdates.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [REG2RUN] C:\msact1.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [Microsoft Standard Executions Library] win32lib.exe

O4 - HKLM\..\RunServices: [Microsoft Corp Updates] wupdates.exe

O4 - HKLM\..\RunServices: [Microsoft Standard Executions Library] win32lib.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Regrun2] C:\ARCHIV~1\Greatis\REGRUN~1\WatchDog.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/056fe5e418e09b315822/netzip/RdxIE601_es.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128194101828

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c46.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3FECFF05-CAED-411E-931E-012B34BBC8B8}: NameServer = 200.42.0.108,200.42.0.109

O17 - HKLM\System\CS1\Services\Tcpip\..\{3FECFF05-CAED-411E-931E-012B34BBC8B8}: NameServer = 200.42.0.108,200.42.0.109

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SCSMS32 (SCSMS) - Unknown owner - C:\WINDOWS\scmsm32.exe (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe (file missing)

O23 - Service: Windows Debugger - Unknown owner - C:\WINDOWS\sysnt.exe (file missing)

O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe (file missing)

Mensaje por **msc hotline sat** » 25 Oct 2005, 07:35

Como que en una mirada rapida veo que las dos ultimas claves que se había indicado eliminar, todavía persisten, ARRANQUE EN MODO SEGURO para lanzar el HJT y eliminar las claves que se le indican:

Conviene eliminar estas claves:

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: SCSMS32 (SCSMS) - Unknown owner - C:\WINDOWS\scmsm32.exe (file missing)

O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe (file missing)

O23 - Service: Windows Debugger - Unknown owner - C:\WINDOWS\sysnt.exe (file missing)

O23 - Service: wordpad - Unknown owner - C:\WINDOWS\wordpad.exe (file missing)

y estas son sospechosas, dejemoslas para el final:

O4 - HKLM\..\Run: [Microsoft Corp Updates] wupdates.exe

O4 - HKLM\..\Run: [REG2RUN] C:\msact1.exe

O4 - HKLM\..\Run: [Microsoft Standard Executions Library] win32lib.exe

O4 - HKLM\..\RunServices: [Microsoft Corp Updates] wupdates.exe

O4 - HKLM\..\RunServices: [Microsoft Standard Executions Library] win32lib.exe

016 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c46.cab

Tras eliminar las claves indicadas, reinicia y mira si persisten las anomalías, para obrar en consecuencia

saludos

ms, 25-10-2005

agustingarcia8 · Mensaje por **agustingarcia8** » 25 Oct 2005, 08:43

Hola. Pasé HJT en modo seguro y ahora mando el log, me parece que vuelven a aparecer elemntos borrados (incluso sauqé la restauración del sistema, y antes, porque quería resolverlo, había corrido en modo seguro el antivirus y otras aplicaciones contra spyware y demás, sin encontrar nada, aunque esto solucionó que ahora puedo desactivar el firewall de windows).

Ahora, esto es lo que pasa. Hace unos días cada vez que iba a Hotmail el explorador se me cerraba, entonces instalé el Mozilla Firefox e iba a Hotmail desde ahí. Me pareció que ahora no me podía conectar a internet por tener este explorador funcionando (porque había podido volver a conectarme con el explorer y al abrir este explorador se desconectó), así que lo saqué. Pero me pasó lo mismo con el Messenger (MSN). Y pasó esto: al desinstalarlo, no sólo puedo navegar con normalidad sino que también puedo usar Hotmail. El problema es que Messenger me es muy útil... si lo recomiendan tal vez podría probar con el google talk u otro similar.. aunque prefería mantenerlo. ¿Esto es todo muy raro, no?

Al desinstalarlo, no me apareció la entrada

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

en el HJT.

Bueno, quedo como siempre a la espera de su respuesta iluminadora, saludos,

Agustín.

Logfile of HijackThis v1.99.1

Scan saved at 03:24:34 a.m., on 25/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\msact1.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\wupdates.exe

C:\WINDOWS\system32\win32lib.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Greatis\REGRUN~1\WatchDog.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\sddk2nn.exe

C:\Mis descargas\HJ\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Microsoft Corp Updates] wupdates.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [REG2RUN] C:\msact1.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [Microsoft Standard Executions Library] win32lib.exe

O4 - HKLM\..\RunServices: [Microsoft Corp Updates] wupdates.exe

O4 - HKLM\..\RunServices: [Microsoft Standard Executions Library] win32lib.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Regrun2] C:\ARCHIV~1\Greatis\REGRUN~1\WatchDog.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/056fe5e418e09b315822/netzip/RdxIE601_es.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128194101828

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c46.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3FECFF05-CAED-411E-931E-012B34BBC8B8}: NameServer = 200.42.0.108,200.42.0.109

O17 - HKLM\System\CS1\Services\Tcpip\..\{3FECFF05-CAED-411E-931E-012B34BBC8B8}: NameServer = 200.42.0.108,200.42.0.109

O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINDOWS\System32\spooler.exe (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SCSMS32 (SCSMS) - Unknown owner - C:\WINDOWS\scmsm32.exe (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe (file missing)

Mensaje por **msc hotline sat** » 25 Oct 2005, 13:10

Tiene uno o varios marranos que nos estan tomando el pelo, creando claves qye se regeneran en cada reinicio, y ya las puede ir borrando...

Como que tiene 4 ficheros de nombre picareso, como de sistema para confundir, envienoslos que los analizaremos a ver si tienen algo que ver en la generacion de estas claves:

C:\sddk2nn.exe

C:\msact1.exe

C:\WINDOWS\system32\wupdates.exe

C:\WINDOWS\system32\win32lib.exe

Si asi fuera ta haríamos una utilidad para eliminarlos, asi comu sus claves de carga y los que ellos crearan.

Envienoslos a zonavirus@satinfo.es anexados a un mail en cuyo texto indique como referencia REF SCMSM32 y tras analizarlos le informaremos.

sepa que esto lo hacen algunos SDBOT y similares, que crean otros ficheros cuyos procesos restauran sus claves de carga, de forma que se autoprotegen y autorestauran, y es una historia que podria darse en este caso.

saludos

ms, 25-10-2005

agustingarcia8 · Mensaje por **agustingarcia8** » 27 Oct 2005, 03:03

Hola. Pude mandar dos de los cuatro archivos pedidos. No encontré:

C:\WINDOWS\system32\wupdates.exe

C:\WINDOWS\system32\win32lib.exe

Puede ser porque como en un mail anterior no me habían aconsejado que los borrara pero sí me habían comentado que eran sospechosos, en el "Administrador de tareas" de Windows (crtl+alt+supr) elegí terminar esos procesos y pude conectarme. Seguramente si reinicio van a aparecer. ¿Desean que los copie y se los mande? Díganme qué pondría en el asunto en ese caso. Así como les mandé msact1 y sddk2nn también tengo un msact2 y un sdk2n en C:\. Les comento por las dudas.

Muchas gracias,

Agustín.

Mensaje por **msc hotline sat** » 27 Oct 2005, 10:06

Recibidas las muestras, de entrada un analisis superficial nos detecta en una un bachoor de IRC, que podía ser lo que estaba escuhando

por si le llamaba el hacker, y el segundo es solo "advertising file" esto es, un troyano adware, no virus.

Mientras desarrollamos las utilidades, mueva estos ficheros a un directorio de cuiarentena y reinice el ordenador:

C:\sddk2nn.exe

C:\msact1.exe

El primero es un virus de BOT; una variante de RBOT que pasaremos a controlar hoy con la nueva version que haremos del ELITRIIP y el otro es un simple adware, que pasaremos a incluir en la proxima version del ELISTARA

A lo largo de hoy sibortemos las dos nuevas versiones, de lo cual ya informaremos.

saludos

ms. 27-10-2005

Mensaje por **msc hotline sat** » 28 Oct 2005, 10:25

De los dos ficheros enviados

C:\sddk2nn.exe

C:\msact1.exe

ya hemos controlado el primero con una nueva version del ELITRIIP que ya hemos subido a la web (1.73) y la otra la estamos analizando para implementarla en un proximo ELISTARA.

Bajese el ELITRIIP actul y podrá eliminarlo.

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Informaremos cuando esté listo el ELISTARA para el otro

saludos

ms, 28-10-2005

~~[b]~~NOTA: Y RECUERDA [/b]

https://foros.zonavirus.com/viewtopic.php?t=1307

Mensaje por **msc hotline sat** » 28 Oct 2005, 14:04

subida nueva version del elistara 10.52 para el control del otro virus

---v10.52-(28 de Octubre del 2005) (Muestras de DownLoader.Agent.DN (AVP) "MSACT1.EXE" y para (3)Winlogon/Notify "st3i", "style32" y "Shell Extensions")

pruebala:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 28-10-2005

Anghelo · Mensaje por **Anghelo** » 28 Oct 2005, 22:45

Muchas gracias amigos, al parecer se soluciono el problema del adiras.exe y el restart.exe. Muchas gracias de nuevo.

Salu2.

PD: acabo de usar partition magic en mi pc y lei un foro donde decias q no eras partidario de el x los virus de particion. En esta pagina no dan solucion a ellos??

Mensaje por **msc hotline sat** » 29 Oct 2005, 06:53

Con el Partition Magic no son aplicables las soluciones standar y tiene que basarse en las utilidades de ellos. Mejor que no se infecte con ninguno de ellos !!!

Una buena medida sería poner la unidad A: como última en el orden del BOOT SEQUENCEen el SETUP del BIOS, por ejemplo:

CDROM - HARDDISK - A:

y asi si no hubiera CD arrancará normalmente de disco duro aunque se olvide un disquete en la disquetera, que es la forma mas frecuente de infectarse con un virus de sector de particion, aunque los hay que lo infectan por ejecucion de ficheros infectados. Y mantenga el antivirus siempre bien actualizado...

Y solucionado el problema, procedemos a cerrar el Tema

saludos

ms, 29-10-2005

nota: y no postees en paralelo, Anghelo o atente a las consecuencias:

https://foros.zonavirus.com/viewtopic.php?t=529

este post lo posteaste repetido en:

https://foros.zonavirus.com/viewtopic.php?t=8939&highlight=

!!!

mi logfile de HJT... ayuda por favor * (SOLUCIONADO)

mi logfile de HJT... ayuda por favor * (SOLUCIONADO)

siguen los problemas: rdriv.sys

Nuevo logfile

nuevo log

un problema persistente

sin conexión!

conexión condicionada

pregunta