Mi Log... (Desesperacion) (SOLUCIONADO)

bendito · Mensaje por **bendito** » 26 Oct 2005, 22:49

Hola, tengo un problema de ventanas emergentes y a cada ratito se me cambia la web en la que este a una de su publicidad, lo cual es tremendamente molesto.

Tengo el McAfee y no ha detectado nada.

He pasado el Panda (active scam), el Adware, el Online de Kaspersky... pero sigo sin solucionar el problema.

Os dejo mi log del Hijack

Logfile of HijackThis v1.99.1

Scan saved at 16:44:32, on 26/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\windows\sp2update00.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\system32\devldr32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [[01]################################################## ################################################## ##########################] C:\Documents and Settings\javier\Internet Optimizer\update\rogue.exe

O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\h00qlad51d0.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\amF2aWVy\command.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Tambien os dejo el Log del Kaspersky por si puede servir de ayuda.

KASPERSKY ON-LINE SCANNER REPORT

Wednesday, October 26, 2005 16:42:32

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version: 5.0.67.0

Kaspersky Anti-Virus database last update: 26/10/2005

Kaspersky Anti-Virus database records: 146896

-------------------------------------------------------------------------------

Scan Settings:

Scan using the following antivirus database: standard

Scan Archives: true

Scan Mail Bases: true

Scan Target - My Computer:

A:\

C:\

D:\

E:\

F:\

G:\

Scan Statistics:

Total number of scanned objects: 38272

Number of viruses found: 12

Number of infected objects: 31

Number of suspicious objects: 0

Duration of the scan process: 4556 sec

Infected Object Name - Virus Name

C:\Documents and Settings\javier\Configuración local\Archivos temporales de Internet\Content.IE5\676ZE1AZ\CP[1].IST2 Infected: Trojan.Win32.Crypt.t

C:\Documents and Settings\javier\Configuración local\Archivos temporales de Internet\Content.IE5\676ZE1AZ\ysbinstall_1003585[1].exe Infected: Trojan-Downloader.Win32.IstBar.is

C:\Documents and Settings\javier\Configuración local\Archivos temporales de Internet\Content.IE5\85EJW1AN\drsmartload[1].exe Infected: Trojan-Downloader.Win32.VB.ri

C:\Documents and Settings\javier\Configuración local\Archivos temporales de Internet\Content.IE5\85EJW1AN\ysb[1].dll Infected: Trojan-Downloader.Win32.IstBar.ms

C:\Documents and Settings\javier\Configuración local\Archivos temporales de Internet\Content.IE5\8DAJGLYJ\istsvc[1].exe Infected: Trojan-Downloader.Win32.IstBar.gen

C:\Documents and Settings\javier\Configuración local\Archivos temporales de Internet\Content.IE5\WTA3SH67\1[1] Infected: Trojan.Win32.Crypt.t

C:\Documents and Settings\javier\Configuración local\Archivos temporales de Internet\Content.IE5\WTA3SH67\istdownload[1].exe Infected: Trojan-Downloader.Win32.IstBar.lw

C:\Documents and Settings\javier\Configuración local\Archivos temporales de Internet\Content.IE5\WTA3SH67\sp2update00[1].exe Infected: Trojan-Downloader.Win32.VB.nh

C:\Documents and Settings\javier\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\XP8RSBLD\istsvc[1].exe Infected: Trojan-Downloader.Win32.IstBar.gen

C:\Documents and Settings\javier\Configuración local\Temp\jfghjhhfgudk.exe Infected: Trojan-Downloader.Win32.IstBar.lw

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP133\A0089009.exe Infected: Trojan-Downloader.Win32.Dyfuca.ei

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP133\A0089016.exe Infected: Trojan-Downloader.Win32.IstBar.gen

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP133\A0089021.exe/run.exe Infected: Trojan-Downloader.Win32.Adload.j

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP133\A0089021.exe Infected: Trojan-Downloader.Win32.Adload.j

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089038.exe Infected: Trojan-Downloader.Win32.Dyfuca.ei

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089039.dll Infected: Trojan-Downloader.Win32.Dyfuca.dt

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089040.exe Infected: Trojan-Downloader.Win32.IstBar.ij

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089041.exe Infected: Trojan-Downloader.Win32.IstBar.ij

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089052.dll Infected: Trojan-Downloader.Win32.IstBar.ms

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089061.dll Infected: Trojan.Win32.Crypt.t

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089062.exe Infected: Trojan.Win32.Crypt.t

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089063.dll Infected: Trojan.Win32.Crypt.t

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089064.exe Infected: Trojan.Win32.Crypt.t

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089066.exe Infected: Trojan.Win32.Crypt.t

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089104.dll Infected: Trojan.Win32.Crypt.t

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089105.exe Infected: Trojan.Win32.Crypt.t

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089122.exe Infected: Trojan-Downloader.Win32.IstBar.is

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP134\A0089123.exe Infected: Trojan-Downloader.Win32.VB.ri

C:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP135\A0089132.exe Infected: Trojan.Win32.StartPage.acx

C:\WINDOWS\sp2update00.exe Infected: Trojan-Downloader.Win32.VB.nh

E:\System Volume Information\_restore{D6EE2500-2495-46FD-B346-8094A984A0BC}\RP133\A0089025.exe Infected: Trojan-Downloader.Win32.Adload.j

Scan process completed.

Un saludo y gracias de antemano.

Mensaje por **msc hotline sat** » 26 Oct 2005, 23:21

Ante todo, copia estos ficheros a un disquete y arrancando en modo seguro en solo simbolo de sistema, los eliminas del disco duro:

C:\WINDOWS\system32\h00qlad51d0.dll

C:\Documents and Settings\javier\Internet Optimizer\update\rogue.exe

Luego arrancas normal y desactivando el antivirus nos los envias a zonavirus@satinfo.es anexados a un mail en cuyo texto figure la referencia REF ROGUE y tras analizarlos implementaremos su control y eliminacion en el ELISTARA

Luego apaga, arranca en modo seguro y lanza el HJT, marca estas claves y eliminalas con FIX:

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [[01]################################################## ################################################## ##########################] C:\Documents and Settings\javier\Internet Optimizer\update\rogue.exe

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\h00qlad51d0.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\amF2aWVy\command.exe (file missing)

Tras todo esto, descarga el actual ELISTARA 10.50:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Arrancas en modo seguro, deshabilitas la restauracion de sistema (cosa que no hiciste cuando quisiste eliminar y al estar en RESTORE, no pudiste eliminar muchos adwares) y lanzas el ELISTARA que has bajado y luego finalmente reinicias otra vez en modo seguro (es importante volver a reiniciar para completar el ciclo del ELISTARA) y lanzas, con la restauracion de sistema deshabilitada, el AD_AWARE que has dicho que tienes.

"et c'est fini!"

Luego posteanos un nuevo log de HJT para ver si se han eliminado todas las claves y sino las acabariamos de eliminar a mano.

Por supuesto que dudas, preguntas o comentarios , debes hacerlas como respuesta de este Tema, asi como postear el log pedido final.

saludos

ms, 26-10-2005

bendito · Mensaje por **bendito** » 26 Oct 2005, 23:54

Bueno... la cosa se me complica.

Resulta que estuve pasando varios antivirus online despues de poner el anterior post y ahora el Hijack no me funciona.

Me da este error y cuando lo reinstalo me dice esto:

[i]"Ocurrio un fallo al tratar de renombrar un archivo en la carpeta de destino:

MovieFile fallo; codigo 5

Acceso denegado".[/i]

Y ahora resulta que esos dos archivos que me pides, tampoco me aparecen.

De mal en peor...

bendito · Mensaje por **bendito** » 27 Oct 2005, 00:09

Vaya... resulta que es el propio McAfee quien me elimina el HijackThis.

Me sale una ventanita del McAfee en el que me dice que esta infectado por el virus W32/Generuc.worm!p2p.

Esto es normal?. Me lo he bajado desde diferentes dir y siempre me lo borra el McAfee.

Voy a probar en modo seguro a ver si te puedo mostrar el nuevo Log.

bendito · Mensaje por **bendito** » 27 Oct 2005, 01:30

Bueno... el HJT me funciona solo en modo seguro, cuando paso al normal el McAfee lo borra.

Te dejo el ultimo log, despues de hacer todo lo que me indicaste. El problema persiste... me sigue redirecionando el navegador (firefox) hacia webs de su publicidad.

Logfile of HijackThis v1.99.1

Scan saved at 1:17:31, on 27/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Documents and Settings\javier\Mis documentos\Mis archivos recibidos\hijackthis-1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marca.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe

O4 - HKLM\..\Run: [kS7VAaBa5] C:\WINDOWS\kyuyoh.exe

O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [VirusScan Online] c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MPSExe] c:\ARCHIV~1\mcafee.com\mps\mscifapp.exe /embedding

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\ARCHIV~1\McAfee\SPAMKI~1\MskDetct.exe /startup

O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\i4jq0e15eh.dll (file missing)

O20 - Winlogon Notify: policies - C:\WINDOWS\system32\dtu10.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\amF2aWVy\command.exe (file missing)

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: McAfee SpamKiller Server (MskService) - Networks Associates Technology. Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Mensaje por **msc hotline sat** » 27 Oct 2005, 10:50

Lance el HJT y marque estas claves y eliminelas con FIX:

O4 - HKLM\..\Run: [SurfAccuracy] C:\Archivos de programa\SurfAccuracy\SAcc.exe

O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\i4jq0e15eh.dll (file missing)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\amF2aWVy\command.exe (file missing)

Y vea si conoce o ha instalado estas, y si no eliminelas tambien:

O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe

O4 - HKLM\..\Run: [kS7VAaBa5] C:\WINDOWS\kyuyoh.exe

O20 - Winlogon Notify: policies - C:\WINDOWS\system32\dtu10.dll

ras ello, reinicie y cientenos el resultadi, como respuesta de este Tema, gracias

saludos

ms, 27-10-2005

bendito · Mensaje por **bendito** » 27 Oct 2005, 14:37

He hecho lo que me has comentado (en modo seguro y con Restaurar Sistema desactivado).

He eliminado con el FIX todos los archivos que mencionaste, excepto "O20 - Winlogon Notify: policies - C:\WINDOWS\system32\dtu10.dll ", pq no me aparecia.

El problema continua y el nuevo log es este:

Logfile of HijackThis v1.99.1

Scan saved at 14:14:47, on 27/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Notepad.exe

C:\Documents and Settings\javier\Mis documentos\Mis archivos recibidos\hijackthis-1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marca.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [VirusScan Online] c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MPSExe] c:\ARCHIV~1\mcafee.com\mps\mscifapp.exe /embedding

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\ARCHIV~1\McAfee\SPAMKI~1\MskDetct.exe /startup

O4 - HKLM\..\Run: [MPFExe] C:\ARCHIV~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\m2820cloefqc0.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\amF2aWVy\command.exe (file missing)

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\ARCHIV~1\McAfee.com\PERSON~1\MPFSERVICE.exe

O23 - Service: McAfee SpamKiller Server (MskService) - Networks Associates Technology. Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Mensaje por **msc hotline sat** » 27 Oct 2005, 14:48

Pues solo quedan dos que si se le resisten, nuire de eliminarla arrancando en modo seguro:

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\m2820cloefqc0.dll

Unknown

(Es posivle que cambie el nombre del fichero en cada arranque, haga dos o tres pruebas de reinicio y lanzamiento del HJT para ver la que cambia)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\amF2aWVy\command.exe (file missing)

y una sospechosa que como el el marca es conocido periodico, no le decia nada de borrarla antes, pero si no es de su interés, eliminela:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marca.es

Ya nos dirá tras ello como le va.

saludos

ms, 27-10-2005

bendito · Mensaje por **bendito** » 27 Oct 2005, 17:21

He vuelto a hacerlo tal como me dices. Siempre en modo seguro y con la restauracion deshabiliada.

Me he fijado que estos archivos...

[quote]O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\o0480ahued480.dll

O23 - Service: Command Service (cmdService) - Unknown owner -C:\WINDOWS\amF2aWVy\command.exe (file missing)
[/quote]

El primer archivo..."o0480ahued480.dll", a cada FIX que hacia, volvia a aparecer con nombre diferente. He intentado eliminarlo directamente y no me deja por estar en uso.

El segundo archivo, si que he conseguido eliminarlo manualmente, pero al reiniciar siempre vuelve a aparecer. Esta carpeta ahora no la veo, pero sin embargo si sale en el Scan del HJT.

Sigo teniendo esperanzas de solucion...

Logfile of HijackThis v1.99.1

Scan saved at 17:05:20, on 27/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\ARCHIV~1\mcafee.com\mps\mscifapp.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\system32\devldr32.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\javier\Mis documentos\Mis archivos

recibidos\hijackthis-1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.marca.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName

= Vínculos

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655}

- c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de

programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos

comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [VirusScan Online]

c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe /disabled

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe]

C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MPSExe] c:\ARCHIV~1\mcafee.com\mps\mscifapp.exe

/embedding

O4 - HKLM\..\Run: [MSKAGENTEXE]

C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [MSKDetectorExe]

C:\ARCHIV~1\McAfee\SPAMKI~1\MskDetct.exe /startup

O4 - HKLM\..\Run: [MSConfig]

C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero

BackItUp\NBJ.exe"

O8 - Extra context menu item: E&xportar a Microsoft Excel -

res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object)

- http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O20 - Winlogon Notify: Reliability -

C:\WINDOWS\system32\o0480ahued480.dll

O23 - Service: Command Service (cmdService) - Unknown owner -

C:\WINDOWS\amF2aWVy\command.exe (file missing)

O23 - Service: McAfee.com McShield (McShield) - Unknown owner -

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) -

McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) -

Networks Associates Technology, Inc -

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: McAfee SpamKiller Server (MskService) - Networks

Associates Technology. Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA

Corporation - C:\WINDOWS\system32\nvsvc32.exe

bendito · Mensaje por **bendito** » 27 Oct 2005, 17:34

Con la opcion de "Delete a file on Reboot..." del HJT he conseguido eliminar este archivo.

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\o0480ahued480.dll

Pero al reiniciar y volver a hacer un Scan me sale ahora esta otra que me parece que es la misma con otro nombre.

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\d80mlid1180.dll

Me ha caido un bicho indestructible?.

Mensaje por **msc hotline sat** » 27 Oct 2005, 17:50

Este fichero debe ser de nombre variable y no podemos eliminarlo por nombre, como haria provisionalmente implememntandolo en el ELISTARA, pero necesutamos una muestra para detectarlo y eliminarlo por cadenas, popr lo que te pido nos lo envies a zonavirus@satinfo.es anexado a un mail en cuyo texto figure cono referencia REF BENDITO y lo implementaremos en la siguiente version.

Y paralelamente vas a ser el primero en probar una ocurrencia mia:

Apaga la maquina

Arranca la maquina en modo seguro en solo simbolo de sistema

Lanza el HJT, llamandolo desde el DOS, y elimina esta clave 020 del Winlogon Notify

Luego reinicia normalmete y vuelve a lanzar el HJT a ver si reaparece la clave o no ¿¿¿???

y nos lo comentas como respuesta a este Tema, pero envianos el fichero para que podamos ir trabajando en ello.

saludos

ms, 27-10-2005

bendito · Mensaje por **bendito** » 27 Oct 2005, 22:39

Bueno... dime como puedo hacer para mandarte el bicho ese.

No lo puedo mover, copiar, editar... (esta en uso) y cuando lo quiero adjuntar en el correo (gmail y yahoo) no me deja por ser un archivo ejecutable.

Y... me podrias decir como lanzar el HJT desde el DOS????.

Oye... muchisimas gracias por todo el tiempo que te estoy consumiendo.

Mensaje por **msc hotline sat** » 28 Oct 2005, 06:53

Pues antetodo abre una carpeta que cuelgue del directorio raiz que se llame HJT y en ella copias el HiJackThis.exe

Luego arrancar en la forma indicada, en modo seguro con solo simnolo de sistema

en esta forma copia el fichero de marras a esta carpeta tambien, oara tenerlo todo a mano:

COPY C:\WINDOWS\system32\o0480ahued480.dll C:\HJT\ <ENTER>

y en esta misma sesion te vas a esta carpeta y ejecutas el HiJackThis, a ver si funciona y miras de borras las claves indicadas:

CD C:\HJT <ENTER>

HIJACKTHIS.EXE <ENTER>

Tras ello, y pase lo que pase (funcione o no) reinicias normalmente y nos envias el fichero de marras, que estará junto con el HiJaclThos en la carpeta C:\HJT

y nos cuentas como te ha ido

saludos

ms, 28-10-2005

bendito · Mensaje por **bendito** » 28 Oct 2005, 12:10

Pues te cuento...

~~[b]~~c:\>COPY C:\WINDOWS\system32\enl6l13s1.dll C:\HJT\

C:\WINDOWS\system32\enl6l13s1.dll[/b]

El sistema no pudo hallar el archivo especificado

0 archivos copiados

Entonces voy a buscarlo directamente

~~[b]~~C:\WINDOWS\system32\enl6l13s1.dll [/b]

El proceso no tiene acceso al archivo porque esta siendo utilizado por otro proceso.

Y ya extrañado...

~~[b]~~

C:\WINDOWS\system32>dir[/b]

Entonces me lista todos los archivos de esta carpeta... pero sorpresa!!!!!. No aparece la dll maldita. Sale el archivo anterior y posterior, pero el bicho no aparece en el listado.

PD:Probe a copiar un txt que cree en esa carpeta para probar si habia hecho algo mal... pero este txt si me lo copio.

bendito · Mensaje por **bendito** » 28 Oct 2005, 12:22

Se me olvidaba... pase el HJT desde el MSDOS y mas de lo mismo.

El bicho se volvio a cambiar el disfraz y ahora se llama...

O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\irrul5991.dll (file missing)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\amF2aWVy\command.exe (file missing)

Mensaje por **msc hotline sat** » 28 Oct 2005, 13:29

Vamos a subor otra version de ELISTARA que detecte estos WINLOGON NOTIFY sean Reliability, o sean Shell Extensions y pedir´ña ficheros muestra, con lo que poder detectar y examinar estos ficheros de nombre variable que ba creando y sustituyendo en cada reinicio.

Menudo bicho has ido a coger !!!

Y es como todo lo desconocido, hasta que le pobes e pie en el cuello !!! ...

Informaré cuando la subamos para que la pruebes.

saludos

ms, 28-10-2005

Mensaje por **msc hotline sat** » 28 Oct 2005, 14:03

subida nueva version 10.52 del elistara a esta web

---v10.52-(28 de Octubre del 2005) (Muestras de DownLoader.Agent.DN (AVP) "MSACT1.EXE" y para (3)Winlogon/Notify "st3i", "style32" y "Shell Extensions")

saludos

ms, 28-10-2005

bendito · Mensaje por **bendito** » 28 Oct 2005, 20:31

Hmmmm... creo que falta la dir de la web.

El bicho es gay, eso fijo... pq me anda tocando los coj...

Mensaje por **msc hotline sat** » 28 Oct 2005, 21:08

La direccion del ELISTARA ya te la dí en mi primer post de respuesta a este Tema...

saludos

ms, 28-10-2005

bendito · Mensaje por **bendito** » 01 Nov 2005, 14:06

Mi desolacion aumenta al ver que no hay forma de eliminar este maldito bicho.

He seguido estos pasos...

<--- Paso 1 --->

Deshabilita "Restaurar sistema" (http://www.forospyware.com/45-post2.html)

Mostrar archivos ocultos (http://www.forospyware.com/46-post3.html)

<--- Paso 2 --->

Con todos los programas cerrados, marca estas entradas y pulsa en Fix Checked:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [[01]################################################## ################################################## ##########################] C:\Documents and Settings\javier\Internet Optimizer\update\rogue.exe

O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\h00qlad51d0.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\amF2aWVy\command.exe (file missing)

<--- Paso 3 --->

Localiza y elimina los siguientes archivos y directorios:

C:\Documents and Settings\javier\Internet Optimizer\

C:\windows\sp2update00.exe

C:\WINDOWS\system32\h00qlad51d0.dll/B]

C:\WINDOWS\[B]amF2aWVy\

Si es necesario, usa Killbox (http://www.forospyware.com/49-post6.html) para eliminar los archivos al reiniciar.

<--- Paso 4 --->

Limpia el registro (http://www.forospyware.com/t713.html) con RegSeeker.

Limpia los temporales de Internet y de Windows (http://www.forospyware.com/48-post5.html) con Disk Cleaner.

<--- Paso 5 --->

Reinicia el ordenador, comenta los resultados y pega un log nuevo del HijackThis.

***************

Esto lo he hecho en modo NORMAL, SEGURO, DOS e incluso he probado a hacerlo sin conexion a internet. Por supuesto tb le he pasado la ultima version del ELITESTAR.

El log resultante es este.

Logfile of HijackThis v1.99.1

Scan saved at 0:12:17, on 29/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\WINDOWS\system32\devldr32.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\ARCHIV~1\mcafee.com\mps\mscifapp.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marca.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [VirusScan Online] c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe /disabled

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MPSExe] c:\ARCHIV~1\mcafee.com\mps\mscifapp.exe /embedding

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\ARCHIV~1\McAfee\SPAMKI~1\MskDetct.exe /startup

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\hdetmon.dll

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: McAfee SpamKiller Server (MskService) - Networks Associates Technology. Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Por lo que deduzco que la unica fila problematica es esta...

O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\hdetmon.dll

He probado a eliminarla con el KILLBOX usando diferentes opciones, incluso cambiando la pestañita de abajo a la dcha a "winlogon.exe". Segun iba intentando eliminar esa fila con el HJT y con el KILLBOX, los diferentes LOGS eran iguales a diferencia de la dichosa fila, que iba cambiando el nombre de la dll.

O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\dnj6011se.dll

que al siguiente intento se paso a llamar...

O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\f6l02g3mg6.dll

o

O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\fp4203hoe.dll

hasta el ultimo que es el que tengo ahora...

O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\n8p40i7qe8.dll

No se si la unica solucion que queda una vez probado los antivirus, ad-awares y demas utilidades es el formateo... pero mientras vosotros tengais paciencia conmigo, seguire vuestros consejos para poder eliminarlo.

bendito · Mensaje por **bendito** » 01 Nov 2005, 15:36

Bueno, creo que el problema se ha solucionado milagrosamente.

Ojeando problemas ajenos por este foro, he encontrado este hilo [url]http://foros.zonavirus.com/viewtopic.php?t=9070[/url] en el que me parecio que era un caso similar al mio.

Asi que he usado este programita a ver si con suerte me mataba al bicho.

[url]http://www.zonavirus.com/datos/articulos/183/Como_eliminar_spyware_Look2Me.asp[/url]

Ahora mi log es este, que parece estar limpio del todo.

Logfile of HijackThis v1.99.1

Scan saved at 15:32:24, on 01/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\ARCHIV~1\mcafee.com\mps\mscifapp.exe

C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\system32\devldr32.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Microsoft Office\OFFICE11\EXCEL.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.marca.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [VirusScan Online] c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe /disabled

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MPSExe] c:\ARCHIV~1\mcafee.com\mps\mscifapp.exe /embedding

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\ARCHIV~1\McAfee\SPAMKI~1\MskDetct.exe /startup

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: McAfee SpamKiller Server (MskService) - Networks Associates Technology. Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Sobre todo, expresaros mi mas grande agredecimiento por el tiempo que habeis dispensado para ayudarme a resolver el problema.

Mensaje por **msc hotline sat** » 01 Nov 2005, 19:33

Pues nos alegra que lo hayas solucionado, y felicidades por tus dotes de investigador. Y muchas gracias por participarnos tus progresos, que esperamos nos serán de gran ayuda, si bien cabe aclarar que no han sido hilos ajenos a este foro, sino de este foro y con el articulo de ADMIN sobre el Look2Me, de esta web. LO que hace falta es saber cuando se trata de este bicho, ya que al ser de nombre y valor cambiante no tenemos muestra para detectarlo por cadenas... Estamos en ello.

Solucionado su problema, procedemos a cerrar el Tema.

Efectivamente es un malware que va cambiando de nombre en cada reinicio, y se carga desde Winlogon Notify, logicamente a pesar de arrancar en modo seguro

Estamos perfeccionando el ELISTARA, pero al cambiar el nombre en cada reinicio, para cada variante se ha de controlar con diferente cadena de deteccion y detectar genericamente este bicho tan cambiante, es actualmente nuestra asignatura pendiente

Ya informaremos al foro en breve de la nueva version de ELISTARA que lo controle y elimine. Pero es que ademas nos cambia el valor de la clave de carga ... Bueno, es nuestro problema.

saludos

ms, 1-11-2005

NOTA: Y revisado el log, aparece limpio. ms.