ayuda con mi log porfa

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Avatar de Usuario
tazztheone
Mensajes: 40
Registrado: 25 Jun 2004, 01:47

ayuda con mi log porfa

Mensaje por tazztheone » 31 Oct 2005, 03:45

Hola, tengo el problema que sin mas ni mas se abren ventanas de internet explorer con paginas de sitios comerciales, paypopup, etc, sobre todo con terminacion yyy65, consulte el foro y a las soluciones parecidas a mi caso las he realizado y nada, en modo seguro realize un chequeo con norton antivirus, spybotsearch, adware, elistara, etc, todo desactivando el restaurador de sistema, el resultado es que elistara me elimino algunos archivos infectados, el norton tambien algunos troyanos, etc, pero a pesar de todo esto sigo con el mismo problema, me podrian ayudar?

este es mi logo





Logfile of HijackThis v1.99.1

Scan saved at 20:28:07, on 30/10/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\ARCHIV~1\NORTON~2\NORTON~1\GHOSTS~2.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\ARCHIV~1\NORTON~2\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\ARCHIV~1\WINZIP\wzqkpick.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\CLIENTE1\Configuración local\Temp\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ad-w-a-r-e.com/cgi-bin/PopupV3?ID={874D549C-F883-83AB-ED8F-CC64C889EAC3}&type=normal&mSkip=1&rnd=24184

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: Detect - C:\WINDOWS\system32\p0r40a9qed.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\ARCHIV~1\NORTON~2\NORTON~1\GHOSTS~2.EXE

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Archivos de programa\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~2\SPEEDD~1\nopdb.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 31 Oct 2005, 05:01

Pues tienes una DLL muy sospechosa, que puede ser problematica de eliminar debido a ser cargada desde un WinLogon Notify.



Ante todo mira de eliminar el fichero p0r40a9qed.dll , arrancando en modo seguro. Si asi no puedes, arranca en modo seguro en solo simbolo de sistema, y si asi se siguiera resistiendo, eliminala arancando en consola de recuperacion, arrancando con el CD de instalacion y pulsando R, y transladandose a C: y luego a la ruta donde esta la DLL y borrandola, con las siguientes instrucciones:



C: <ENTER>

CD \WINDOWS\SYSTEM32 <ENTER>

DEL /F p0r40a9qed.dll <ENTER>



(ojo que los 0 del nombre de la DLL son ceros , no Os -letra-)



Si asi se resistiera es que estaría protegida con atributo H, R o S, en tal caso eliminarlo con un ATTRIB -H -R -S p0r40a9qed.dll <ENTER> antes del DEL ...



Luego arrancar normalmente y eliminar las siguientes claves, lanzando el HJT, marcando las claves y FIX:



O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)



O20 - Winlogon Notify: Detect - C:\WINDOWS\system32\p0r40a9qed.dll





No tiene ningun parche aplicado!!! Primero cargar el SP1 y luego los demás (SP2 y posteriorres), con un windows update:



___________________





INSTALACION DEL SP1 DEL XP PARA PODER INSTALAR EL SP2: (O SEGUIR CON EL WINDOWSUPDATE)



http://www.microsoft.com/en/us/default.aspxwindowsxp/downloads/updates/sp1/default.mspx



(SE DEBE ESCOGER IDIOMA...)

____________________



Tras todo esto, reiniciar y comprobar que han desaparecido las incidencias de los POPUPS y en cualquier caso comentarnos el resultado como respuesta de este Tema, gracias



saludos



ms, 31-10-2005
Arriba
Responder

Volver a “Foro HijackThis - copia y pega tu log”