SPYWARE, se abre: ad-w-a-r-e.com (Solucionado)

jho7 · Mensaje por **jho7** » 04 Nov 2005, 09:09

Hola, primero que nada, soy Jhovanny de ensenada,baja, mexico....y mi problema empezo hace algunos dias, baje un crack para un editor de video que tenia que registrar para poder grabar mas de 10 segundos que te permitia la version trial.....asi empezo esto.....

es un problema, quiza no tan grave, pero si molesto....cada cierto tiempo, se abre una pagina, la direccion bastante larga..."http://www.ad-w-a-r-e.com/cgi-bin/PopupV3?ID={633D7871-DBB3-C1B2-DD9A-A57DC655E5C5}&type=normal&mSkip=1&rnd=18389" exactamente asi (no se si siempre es la misma o si varia, pero siempre dice:ad-w-a-r-e.com)

Mi equipo es (segun el dxdiag):

--- Windows Me (4.90 Compilacion 3000) En español

Procesador: Intel Pentium II, MMX, 350Mhz

384Mb de RAM, Ttja de video ATI radeon 7000 64 MB

Navegador: MAXTHON Version=1.1.1.20

Proteccion:

Spybot - Search & Destroy

Free Spyware Scanner (lo baje por lo de FREE jeje)

y ya! ah cabe mencionar ke he pasado ambos programas actualizados en modo a prueba de fallos, scan total, ambos en normal y en modo a prueba de fallos, localiza algo y los borra, otro me dice que no se puede aun en modo de fallos....pero lo qe si se puede borrar, lo elimina, pero el problema sigue....

---

bueno, he leido algun post parecido al mio y baje el programa "HijackThis.exe", lo corri y aqui esta mi log:

Logfile of HijackThis v1.99.1

Scan saved at 11:51:9 p.m., on 03/11/2005

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\FREE SPYWARE SCANNER\SPYWATCHER.EXE

D:\ARCHIVOS DE MIS PROGAMAS\TRANSDESKTOP\TRANSDESKTOP.EXE

C:\WINDOWS\GWHOTKEY.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\MAXTHON\MAXTHON.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\ARCHIVOS DE PROGRAMA\TELMEX\PRODIGY INFINITUM\APP\TANGOMANAGER.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\ESCRITORIO\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bcdbualthzyp.com/NfbImDRVEP/pCW_xHrxOyj/zvP5Pmg9F0BsY03ZKsJl7WI132k3CZi/pZ3vv3/Jb.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mx.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://mx.search.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mx.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://mx.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://mx.search.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mx.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://mx.search.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mx.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Services/resultsmaster/ResultsMasterHomeLeftPane.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://mx.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://mx.search.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.prodigy.com.mx/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\ARCHIVOS DE PROGRAMA\HBTOOLS\BIN\4.7.0.0\HBTHOSTIE.DLL (file missing)

O3 - Toolbar: Cram Toolbar - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - C:\ARCHIVOS DE PROGRAMA\CRAM TOOLBAR\UNTITLED.DLL (file missing)

O4 - HKLM\..\Run: [Spy Watcher] "C:\ARCHIVOS DE PROGRAMA\FREE SPYWARE SCANNER\SpyWatcher.exe" -S

O4 - HKLM\..\Run: [TangoManager] C:\ARCHIV~1\TELMEX\PRODIG~1\APP\TANGOM~1.EXE

O4 - HKLM\..\Run: [TransDesktop] D:\ARCHIVOS DE MIS PROGAMAS\TRANSDESKTOP\TRANSDESKTOP.EXE /AUTOSET

O4 - HKCU\..\RunServices: [wupd] C:\WINDOWS\SYSTEM\win32.exe

O4 - Startup: GWHotKey.lnk = C:\WINDOWS\GWHotKey.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O9 - Extra button: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file)

O9 - Extra button: Start EasyFreeWebCam - {ECC5777A-6E88-BFCE-13CE-81F134789E8B} - D:\EASYWE~1\easywebcam.exe (file missing)

O9 - Extra 'Tools' menuitem: &EasyFreeWebCam - {ECC5777A-6E88-BFCE-13CE-81F134789E8B} - D:\EASYWE~1\easywebcam.exe (file missing)

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YHEXBMESMX.DLL

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YHEXBMESMX.DLL

O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Archivos de programa\WareOut\WareOut.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Archivos de programa\WareOut\WareOut.exe (file missing) (HKCU)

O9 - Extra button: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file) (HKCU)

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O15 - Trusted IP range: 67.19.185.246

O15 - Trusted IP range: 67.19.185.246 (HKLM)

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab

O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {92E1B3F7-0546-421E-9835-904D25B7BA66} - http://www.ciberpostales.com/MacromediaFlash.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

ESPERO QUE ME AYUDEN POR FAVOR!!!!!

GRACIAS!!!

saludos

por cierto, el progama este: "EasyFreeWebCam" que aparece ahi, no es ningun dialer eh! es un programa para tener tu webcam en linea por internet, screenshots y eso he ......yo se que ya sabian....

bueno

adios!

Mensaje por **maura63** » 04 Nov 2005, 11:00

Pasa esta utilidad

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Despues vuelve a pegarnos un nuevo log.

Saludos

maura63

Mensaje por **msc hotline sat** » 04 Nov 2005, 16:11

No sè si esta 015 la conocerá el ELISTARA y debe eliminarse:

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

porque es simplemente un sitio de confiznzam por lo que, terminado el ELISTARA, volver a lanzar el HJT y si persiste esta clave, eliminarla marcandola y FIX, pero luego volver a lanzar otro HJT y copiarnos el log de nuevo, pues tendremos que intervenir en muchos restos.

saludos

ms, 4-11-2005

jho7 · Mensaje por **jho7** » 05 Nov 2005, 23:43

hola, gracias.....

baje el elistara y me encontro y borro estos 2 archivos:

itfil13n.ddl - WinAd

wodata32.dll - DownLoader.ACT

el log es el siguiente:

Sat Nov 05 14:02:43 2005

EliStartPage v10.54 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM\MQEXDLM.SRG --> Eliminado

Por favor, envienos una muestra del fichero

C:\WINDOWS\TEMP\NDNUNINSTALL4_85.EXE.Muestra EliStartPage v10.54

a "virus@satinfo.es". Gracias.

C:\WINDOWS\NDNUNINSTALL4_85.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\CLOCKSYNC\SYNC.EXE --> Eliminado WhenUClockSync

Por favor, envienos una muestra del fichero

C:\WINDOWS\TEMP\WSTART.DLL.Muestra EliStartPage v10.54

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\WSTART.DLL --> Eliminado

Entrada Eliminada [HKCU\...\RunServices] "wupd"="C:\WINDOWS\SYSTEM\win32.exe"

Eliminada Class, "{66B90ADB-0BE3-40AE-8680-84A6F0577CA0}"

Eliminada Class, "{74CC49F7-EB32-4A08-B204-948962A6E3DB}"

Eliminada Class, "{7E66936C-FEA0-4984-AD26-7B6661AC5B2E}"

Eliminada Class, "{9896231A-C487-43A5-8369-6EC9B0A96CC0}"

Eliminada Class, "{ED8525EA-2BFC-4440-BD8A-20EFB9D5E541}"

Eliminada Class, "{FAA356E4-D317-42A6-AB41-A3021C6E7D52}"

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.igetnet.com

Linea Eliminada del HOSTS --> 127.0.0.1 code.ignphrases.com

Linea Eliminada del HOSTS --> 127.0.0.1 clear-search.com

Linea Eliminada del HOSTS --> 127.0.0.1 r1.clrsch.com

Linea Eliminada del HOSTS --> 127.0.0.1 sds.clrsch.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.clrsch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clrsch.com

Linea Eliminada del HOSTS --> 127.0.0.1 clr-sch.com

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 xads.offeroptimizer.comm

Linea Eliminada del HOSTS --> 127.0.0.1 search.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 ximages.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 xlime.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 xadsj-o.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 xadsj.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Sat Nov 05 14:12:45 2005

EliStartPage v10.54 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.igetnet.com

Linea Eliminada del HOSTS --> 127.0.0.1 code.ignphrases.com

Linea Eliminada del HOSTS --> 127.0.0.1 clear-search.com

Linea Eliminada del HOSTS --> 127.0.0.1 r1.clrsch.com

Linea Eliminada del HOSTS --> 127.0.0.1 sds.clrsch.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.clrsch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clrsch.com

Linea Eliminada del HOSTS --> 127.0.0.1 clr-sch.com

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 xads.offeroptimizer.comm

Linea Eliminada del HOSTS --> 127.0.0.1 search.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 ximages.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 xlime.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 xadsj-o.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 xadsj.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Sat Nov 05 14:21:44 2005

EliStartPage v10.54 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.igetnet.com

Linea Eliminada del HOSTS --> 127.0.0.1 code.ignphrases.com

Linea Eliminada del HOSTS --> 127.0.0.1 clear-search.com

Linea Eliminada del HOSTS --> 127.0.0.1 r1.clrsch.com

Linea Eliminada del HOSTS --> 127.0.0.1 sds.clrsch.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.clrsch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clrsch.com

Linea Eliminada del HOSTS --> 127.0.0.1 clr-sch.com

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 xads.offeroptimizer.comm

Linea Eliminada del HOSTS --> 127.0.0.1 search.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 ximages.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 xlime.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 xadsj-o.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 xadsj.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.offeroptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Sat Nov 05 14:26:51 2005

EliStartPage v10.54 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminada Carpeta "%Archivos de Programa%\ClockSync"

Eliminada Carpeta "%ProgramasMenuInicio%\ClockSync"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 05 14:30:00 2005

EliStartPage v10.54 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM\LTFIL13N.DLL --> Eliminado, WinAd

C:\WINDOWS\SYSTEM\minidrv.exe --> AutoExtraible

C:\WINDOWS\SYSTEM32\WODATA32.DLL --> Eliminado, DownLoader.ACT

C:\Archivos de programa\MSN Messenger\UninstWave11.exe --> AutoExtraible

C:\Archivos de programa\Maxthon\MaxthonUINST.exe --> AutoExtraible

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Archivos de programa\Winamp\eMusic-8basic.exe --> AutoExtraible

Sat Nov 05 14:33:52 2005

EliStartPage v10.54 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

D:\msn\Wave11.exe --> AutoExtraible

D:\msn\blackice.exe --> AutoExtraible

D:\Kazaa Shared Folder\winamp508e_full_emusic-7plus.exe --> AutoExtraible

D:\Kazaa Shared Folder\winamp509_full_silvertide_emusic-8basic.exe --> AutoExtraible

D:\Kazaa Shared Folder\myie2\mcombo.exe --> AutoExtraible

Sat Nov 05 14:35:03 2005

EliStartPage v10.54 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Nov 05 14:35:21 2005

EliStartPage v10.54 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM\minidrv.exe --> AutoExtraible

C:\Archivos de programa\MSN Messenger\UninstWave11.exe --> AutoExtraible

C:\Archivos de programa\Maxthon\MaxthonUINST.exe --> AutoExtraible

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Archivos de programa\Winamp\eMusic-8basic.exe --> AutoExtraible

jho7 · Mensaje por **jho7** » 05 Nov 2005, 23:45

luego corri el HijackThis

y el log es este:

Logfile of HijackThis v1.99.1

Scan saved at 2:34:35 p.m., on 05/11/2005

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\ESCRITORIO\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.prodigy.com.mx/

O4 - HKLM\..\Run: [Spy Watcher] "C:\ARCHIVOS DE PROGRAMA\FREE SPYWARE SCANNER\SpyWatcher.exe" -S

O4 - HKLM\..\Run: [TangoManager] C:\ARCHIV~1\TELMEX\PRODIG~1\APP\TANGOM~1.EXE

O4 - HKLM\..\Run: [TransDesktop] D:\ARCHIVOS DE MIS PROGAMAS\TRANSDESKTOP\TRANSDESKTOP.EXE /AUTOSET

O4 - Startup: GWHotKey.lnk = C:\WINDOWS\GWHotKey.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O9 - Extra button: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file)

O9 - Extra button: Start EasyFreeWebCam - {ECC5777A-6E88-BFCE-13CE-81F134789E8B} - D:\EASYWE~1\easywebcam.exe (file missing)

O9 - Extra 'Tools' menuitem: &EasyFreeWebCam - {ECC5777A-6E88-BFCE-13CE-81F134789E8B} - D:\EASYWE~1\easywebcam.exe (file missing)

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YHEXBMESMX.DLL

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YHEXBMESMX.DLL

O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Archivos de programa\WareOut\WareOut.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Archivos de programa\WareOut\WareOut.exe (file missing) (HKCU)

O9 - Extra button: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file) (HKCU)

O15 - Trusted IP range: 67.19.185.246

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab

O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {92E1B3F7-0546-421E-9835-904D25B7BA66} - http://www.ciberpostales.com/MacromediaFlash.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

cabe mencionar que el problema sigue...espero me sigan guiando....

muchas gracias por su atencion!

:D

Mensaje por **msc hotline sat** » 06 Nov 2005, 11:50

Ante todo, el primer informe del ELISTARA te pedía que nos enviaras unas muestras. ¿Lo has hecho? Porque pueden ser las causantes de tus probleemas, y si las recibimos, se analizan, y aplican si procede en las proximas versiones de nuestras utilidades.

Luego, hay una url a la que asignas derechos de sitio seguro, siendo su ISP de Dallas., Eres consciente te ello ?

O15 - Trusted IP range: 67.19.185.246

Los datos al respecto son:

Hostname Country Code County Name Region Region Name City Postal Code Latitude Longitude ISP Organization Metro Code Area Code

67.19.185.246 US United States TX Texas Dallas 75207 32.7825 -96.8207 THEPLANET.COM INTERNET SERVICES THEPLANET.COM INTERNET SERVICES 623 214

y estas dos son solo sospechosas, si no las conoces, eliminalas tambien:

O4 - HKLM\..\Run: [TangoManager] C:\ARCHIV~1\TELMEX\PRODIG~1\APP\TANGOM~1.EXE

O4 - HKLM\..\Run: [TransDesktop] D:\ARCHIVOS DE MIS PROGAMAS\TRANSDESKTOP\TRANSDESKTOP.EXE /AUTOSET

Y las siguientes, eliminalas, ya sabes que es lanzando el HJT, narcandolas y dandole a FIX:

O9 - Extra button: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file)

O9 - Extra button: Start EasyFreeWebCam - {ECC5777A-6E88-BFCE-13CE-81F134789E8B} - D:\EASYWE~1\easywebcam.exe (file missing)

O9 - Extra 'Tools' menuitem: &EasyFreeWebCam - {ECC5777A-6E88-BFCE-13CE-81F134789E8B} - D:\EASYWE~1\easywebcam.exe (file missing)

09 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Archivos de programa\WareOut\WareOut.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Archivos de programa\WareOut\WareOut.exe (file missing) (HKCU)

O9 - Extra button: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file) (HKCU)

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab

O16 - DPF: {92E1B3F7-0546-421E-9835-904D25B7BA66} - http://www.ciberpostales.com/MacromediaFlash.cab

Y tras ello, reinicia y nos cuentas el resultado (y no te olvides de las muestras)

saludos

ms, 6-11-2005

jho7 · Mensaje por **jho7** » 07 Nov 2005, 02:28

mm ya lo hice...pero no pasa nada....como te envio las muestras de los archivos esos, si ya fueron eliminados?? corri de nuevo el elistara pero ya no los detecta, porque estan eliminados.....

respecto al IP que esta en la zona de confianza, ya no esta en dicha zona (la quite directamente desde las opciones de internet explorer)

y ... cheque todas las casillas que me indicaste, excepto estas:

O4 - HKLM\..\Run: [TangoManager] C:\ARCHIV~1\TELMEX\PRODIG~1\APP\TANGOM~1.EXE

O4 - HKLM\..\Run: [TransDesktop] D:\ARCHIVOS DE MIS PROGAMAS\TRANSDESKTOP\TRANSDESKTOP.EXE /AUTOSET

ninguna de esas 2 opciones pueden ser el problema, porque: TangoManager.exe es el programa que me conecta a internet....y TransDektop.exe es un programa que me quita la opacidad de las letras del escritorio para que no se vea el fondo y solo sean las letras, este programa fue instalado hace mucho tiempo, antes de que iniciaran las fallas........

...bueno, como sea.....

volvi a correr el hijackthis y este es el log:

Logfile of HijackThis v1.99.1

Scan saved at 5:18:10 p.m., on 06/11/2005

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\FREE SPYWARE SCANNER\SPYWATCHER.EXE

C:\ARCHIVOS DE PROGRAMA\TELMEX\PRODIGY INFINITUM\APP\TANGOMANAGER.EXE

D:\ARCHIVOS DE MIS PROGAMAS\TRANSDESKTOP\TRANSDESKTOP.EXE

C:\WINDOWS\GWHOTKEY.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\ARCHIVOS DE PROGRAMA\MAXTHON\MAXTHON.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\ESCRITORIO\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.prodigy.com.mx/

O4 - HKLM\..\Run: [Spy Watcher] "C:\ARCHIVOS DE PROGRAMA\FREE SPYWARE SCANNER\SpyWatcher.exe" -S

O4 - HKLM\..\Run: [TangoManager] C:\ARCHIV~1\TELMEX\PRODIG~1\APP\TANGOM~1.EXE

O4 - HKLM\..\Run: [TransDesktop] D:\ARCHIVOS DE MIS PROGAMAS\TRANSDESKTOP\TRANSDESKTOP.EXE /AUTOSET

O4 - Startup: GWHotKey.lnk = C:\WINDOWS\GWHotKey.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O9 - Extra button: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file)

O9 - Extra button: Start EasyFreeWebCam - {ECC5777A-6E88-BFCE-13CE-81F134789E8B} - D:\EASYWE~1\easywebcam.exe (file missing)

O9 - Extra 'Tools' menuitem: &EasyFreeWebCam - {ECC5777A-6E88-BFCE-13CE-81F134789E8B} - D:\EASYWE~1\easywebcam.exe (file missing)

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YHEXBMESMX.DLL

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YHEXBMESMX.DLL

O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Archivos de programa\WareOut\WareOut.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Archivos de programa\WareOut\WareOut.exe (file missing) (HKCU)

O9 - Extra button: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file) (HKCU)

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} - http://secure2.comned.com/signuptemplates/securelogin-devel.cab

O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {92E1B3F7-0546-421E-9835-904D25B7BA66} - http://www.ciberpostales.com/MacromediaFlash.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

repito, no ha pasado nada..las ventanas siguen apareciendo...incluso las agregue al filtro de MyIE2 de Maxthon (que es el explorador que uso) y aun asi siguen apareciendo.......de vdd gracias, y espero que se pueda hacer algo......

Mensaje por **msc hotline sat** » 07 Nov 2005, 08:28

Arranca en modo seguro y elimina estas claves:

O9 - Extra button: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file)

O9 - Extra button: Start EasyFreeWebCam - {ECC5777A-6E88-BFCE-13CE-81F134789E8B} - D:\EASYWE~1\easywebcam.exe (file missing)

O9 - Extra 'Tools' menuitem: &EasyFreeWebCam - {ECC5777A-6E88-BFCE-13CE-81F134789E8B} - D:\EASYWE~1\easywebcam.exe (file missing)

O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Archivos de programa\WareOut\WareOut.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Archivos de programa\WareOut\WareOut.exe (file missing) (HKCU)

O9 - Extra button: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {886844F4-A561-4E69-B7A7-EDEA30D01A61} - (no file) (HKCU)

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} - http://secure2.comned.com/signuptemplates/securelogin-devel.cab

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} - http://secure2.comned.com/signuptemplates/securelogin-devel.cab

saludos

ms, 7-11-2005

jho7 · Mensaje por **jho7** » 08 Nov 2005, 08:09

ya hice lo que me pediste...aqui esta el log....

Logfile of HijackThis v1.99.1

Scan saved at 11:00:40 p.m., on 07/11/2005

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\LEXBCES.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\SYSTEM\LEXPPS.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\NOTEPAD.EXE

C:\WINDOWS\ESCRITORIO\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.prodigy.com.mx/

O4 - HKLM\..\Run: [Spy Watcher] "C:\ARCHIVOS DE PROGRAMA\FREE SPYWARE SCANNER\SpyWatcher.exe" -S

O4 - HKLM\..\Run: [TangoManager] C:\ARCHIV~1\TELMEX\PRODIG~1\APP\TANGOM~1.EXE

O4 - HKLM\..\Run: [TransDesktop] D:\ARCHIVOS DE MIS PROGAMAS\TRANSDESKTOP\TRANSDESKTOP.EXE /AUTOSET

O4 - Startup: GWHotKey.lnk = C:\WINDOWS\GWHotKey.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YHEXBMESMX.DLL

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YHEXBMESMX.DLL

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0

O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {92E1B3F7-0546-421E-9835-904D25B7BA66} - http://www.ciberpostales.com/MacromediaFlash.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

..si de algo sirve....he notado que el proceso "RUNDLL32" es el que ejecuta la apertura de estas paginas....lo he notado porque cuando presiono ctrl+alt+del para ver el task manager...aparece ahi pero antes no aparecia....

el problema sigue....

gracias ! espero que me puedan seguir ayudando :lol:

Mensaje por **msc hotline sat** » 08 Nov 2005, 11:03

Si quieres envianos este RUNDLL32.EXE y miraremos lo que tiene dentro, porque el nombre no implica necesariamente nada.

Envianoslo a zonavirus@satinfo.es anexado a un mail cuyo texto indique la referencia REF jho7 y tras analizarlo, te informaremos como respuesta de este Tema.

Y añade al envio estos ficheros que te pidió el ELISTARA:

[quote="elistara"]
Por favor, envienos una muestra del fichero

C:\WINDOWS\TEMP\NDNUNINSTALL4_85.EXE.Muestra EliStartPage v10.54

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\WINDOWS\TEMP\WSTART.DLL.Muestra EliStartPage v10.54

a "virus@satinfo.es". Gracias

[/quote]

Fijate que estos no son los que eliminó, sino una copia que se guardó en C:\windows\temp y con un nombre igual pero con extension muy larga.

Aparte de ello, puedes eliminar la siguiente clave:

O16 - DPF: {92E1B3F7-0546-421E-9835-904D25B7BA66} - http://www.ciberpostales.com/MacromediaFlash.cab

Y SI NO LAS CONOCE, ELIMINE TAMBIEN ESTAS:

O4 - HKLM\..\Run: [TangoManager] C:\ARCHIV~1\TELMEX\PRODIG~1\APP\TANGOM~1.EXE

O4 - HKLM\..\Run: [TransDesktop] D:\ARCHIVOS DE MIS PROGAMAS\TRANSDESKTOP\TRANSDESKTOP.EXE /AUTOSET

saludos

ms, 8-11-2005

Nota: Y vista la causa de dicha incidencia, date cuenta de lo que originaste por no adquirir legalmente la version legal, y pretender utilizar un crack en su lugar... A ver si te sirve de experiencia !!! EL SOFTWARE DEBE SER LEGAL, NO PIRATA !!! ms.

jho7 · Mensaje por **jho7** » 09 Nov 2005, 05:27

hola! oye ya he enviado los 3 archivos a zonavirus@satinfo.es

1. RUNDLL32.EXE

2. NDNUNINSTALL4_85.EXE.Muestra EliStartPage v10.54

3. WSTART.DLL.Muestra EliStartPage v10.54

al correo con el asunto indicado...

he eliminado la clave que dijiste "016"

las 2 "04" las conozco y no son riesgosas.....

de nuevo esta aqui el log:

Logfile of HijackThis v1.99.1

Scan saved at 8:20:37 p.m., on 08/11/2005

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\LEXBCES.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\SYSTEM\LEXPPS.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\FREE SPYWARE SCANNER\SPYWATCHER.EXE

C:\ARCHIVOS DE PROGRAMA\TELMEX\PRODIGY INFINITUM\APP\TANGOMANAGER.EXE

D:\ARCHIVOS DE MIS PROGAMAS\TRANSDESKTOP\TRANSDESKTOP.EXE

C:\WINDOWS\GWHOTKEY.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\ARCHIVOS DE PROGRAMA\MAXTHON\MAXTHON.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\ESCRITORIO\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.prodigy.com.mx/

O4 - HKLM\..\Run: [Spy Watcher] "C:\ARCHIVOS DE PROGRAMA\FREE SPYWARE SCANNER\SpyWatcher.exe" -S

O4 - HKLM\..\Run: [TangoManager] C:\ARCHIV~1\TELMEX\PRODIG~1\APP\TANGOM~1.EXE

O4 - HKLM\..\Run: [TransDesktop] D:\ARCHIVOS DE MIS PROGAMAS\TRANSDESKTOP\TRANSDESKTOP.EXE /AUTOSET

O4 - Startup: GWHotKey.lnk = C:\WINDOWS\GWHotKey.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YHEXBMESMX.DLL

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIVOS DE PROGRAMA\YAHOO!\COMMON\YHEXBMESMX.DLL

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,910,0

O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab

bueno, gracias! espero que me sigan ayudando en esto.....

p.d. ahhhh si oye :roll: jeje piratas....ya no! en serio...tantos problemas que me hubiera evitado (y a ustedes tmb) de haber hecho lo correcto y adquirir una version legal........y ps de verdad que todos aprendamos de esto (aquellos que seguimos crackeando programas) y dejemos de hacerlo para evitarnos tantas broncas.......de cualquier forma gracias!!

jho7 · Mensaje por **jho7** » 09 Nov 2005, 05:27

ahhh por cierto......el problema sigue

gracias por su ayuda!

Mensaje por **msc hotline sat** » 09 Nov 2005, 06:47

Pues aparte de las 04 que no has eliminado, cabe señalar que en procesos tiene en partw su consecuencia y algo que no sñe de donde viene.

Por si acaso, simplemente renombra los ficheros EXE en cuestion a .OLD por ejemplo, opara que no sean ejecutados en el proximo arranque, y tras reiniciar nos cuentas el resultado.

Esto es todo lo que se puede hacer en el log actual, las 04 y estos dos ficheros. Otra cosa que te pudiera afectar no aparece en el log, pero piensa que lo que muestra el log del HJT es un 1 % del regustro de sistema, asi que el dichoso crack pudo modificar cualquier otra clave no mostrada y fastidiarte en consecuencia.

Por ultimo, si tras reiniciar persisten los problemas, lo unico que puedes hacer es ir a POanel de Control -> Agregar o Quitar Programas y ver si alli hay alguna aplicacion rara, que pueda haber sido instalada por el crack, y en su caso la desinstalas, y nos cuentas el resultado, gracias

saludos

ms, 9-11-2005

Mensaje por **msc hotline sat** » 10 Nov 2005, 12:08

Para las nuevas muestras recibidas se ha desarrollado la nueva version del ELISTARA que las controla y elimina:

---v10.57-(10 de Noviembre del 2005) (Muestras de Vundo "NNNON.DLL", NewDotNet "NDNUNINSTALL4_85.EXE", BackDoor-CFO "WSTART.DLL" y NaviPromo "MSCLOCK32.DLL")

Sobre el RUNDLL32.exe no era virico, sino que es el del sistema operativo, que se cuida de abrir y ejecutar las funciones de las DLL, que pueden ser malwares, claro, en su caso la WSTART.DLL, que ha resultado ser un BackDoor-CFO , que eliminamos con la utilidad indicada.

Descarguela de

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

y tras ejecutarla, reinicie y nos cuenta el resultado, como respuesta de este Tema, gracias

saludos

ms, 10-11-2005

jho7 · Mensaje por **jho7** » 13 Nov 2005, 03:48

perdon por la tardanza....ya baje la nueva version, baje el elistara y estos son los resultados:

Sat Nov 12 18:22:27 2005

EliStartPage v10.58 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM\minidrv.exe --> AutoExtraible

C:\WINDOWS\SYSTEM\LTFIL13N.DLL --> Eliminado, WinAd

C:\WINDOWS\TEMP\NDNUNINSTALL4_85.EXE.MUESTRA ELISTARTPAGE V10.54 --> Eliminado, NewDotNet Uninst

C:\WINDOWS\TEMP\WSTART.DLL.MUESTRA ELISTARTPAGE V10.54 --> Eliminado, BackDoor-CFO

C:\WINDOWS\ESCRITORIO\ELISTARA\NDNUNINSTALL4_85.EXE.MUESTRA ELISTARTPAGE V10.54 --> Eliminado, NewDotNet Uninst

C:\WINDOWS\ESCRITORIO\ELISTARA\WSTART.DLL.MUESTRA ELISTARTPAGE V10.54 --> Eliminado, BackDoor-CFO

C:\Archivos de programa\MSN Messenger\UninstWave11.exe --> AutoExtraible

C:\Archivos de programa\Maxthon\MaxthonUINST.exe --> AutoExtraible

C:\Archivos de programa\Winamp\UninstWA.exe --> AutoExtraible

C:\Archivos de programa\Winamp\eMusic-8basic.exe --> AutoExtraible

C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\DUMMIES\DUMMY.CD_CLINT.DLL --> Eliminado, CyDoor

estas son las paginas que aparecen

http://www.mega-cheap.com/normal/yyy102.html

http://www.mega-savings.com/normal/yyy102.html

http://www213.paypopup.com/adsdirect.php?data=rse_2%2f%fe%2b%2b-2%23%2c..%24s%5c77sx%5cfzukj_%feq_zcy%3b%7b%2b1-0%f3lcy%3b%fe%29-%266%7d1.%297&id=bundleware&cid=1569722&sid=23782&tid=1131849449&campaign=&ref=&rurl=&clater=&defurl=

http://www.ad-w-a-r-e.com/cgi-bin/popupv3?id={633d7871-dbb3-c1b2-dd9a-a57dc655e5c5}&type=normal&mskip=1&rnd=6490

http://e.rn11.com/adbuys/a405-admed-ron

.....el problema sigue......

gracias por su ayuda!

Mensaje por **msc hotline sat** » 13 Nov 2005, 07:40

No sé si arranco en modo seguro con solo simbolo de sistema para lanzar el ELISTARA, como tampoco sé si en el HJT se han eliminado las claves que el ELISTARA ha querido eliminar, porque el hombre propone y Windows hace lo que quiere...

Lanza el HJT y mira si las claves indicadas se han eliminado, y si no, prueba de lanzar el ELISTARA como te he indicado, arrancando en modo seguro con solo simbolo de sistema, y comprueba si eliminacion real en el log del HJT que lances a continuacion.

Ya sabemos que el winlogon notify se resiste un poquito, porque se lanza aun arrancando en modo seguro, pero entiendo que no en modo seguro con solo simbolo de sistema.

saludos

ms, 13-11-2005

HarryCallaghan · Mensaje por **HarryCallaghan** » 13 Nov 2005, 21:32

El problema de las webs de ad-wa-re, segun mi experiencia son causadas por el spyware Look2me. Yo las sufri hace como dos semanas y las arregle siguiendo los consejos de esta misma pagina. Concretamente esto te puede ayudar:

http://www.zonavirus.com/datos/articulos/183/Como_eliminar_spyware_Look2Me.asp

Un saludo

Mensaje por **msc hotline sat** » 13 Nov 2005, 21:40

Es posible, lo que pasa es que cada día salen variantes nuevas que a veces no se controlan con las utilidades antiguas, por eso vamos haciendo nuevas versiones a diario, para lo que requerimos las muestras solicitadas.

Pero pro probar nada se pierde, a veces las herramientas anteriores controlan genericamente una variante posterior...

Ya nos infromará deñl resultado, de todas formas una vez recibida la muestra, su inclusiuon en el ELISTARA se hace el mismo día, y ya se controla para siempre.

saludos

ms, 13-11-2005

jho7 · Mensaje por **jho7** » 14 Nov 2005, 09:08

ah ya estaba pensando en formatear.............gracias "~~[b]~~maura63[/b]" y "~~[b]~~msc hotline sat[/b]" por la paciencia y por supuesto gracias "~~[b]~~HarryCallaghan[/b]" por la solucion!!

espero sigan ayudando asi a los demas!!!!

muchas gracias!! :D :) :lol:

Mensaje por **maura63** » 14 Nov 2005, 09:34

Pues nos alegramos de ello y solucionado el tema lo cerramos.

Saludos

maura63

Mensaje por **msc hotline sat** » 14 Nov 2005, 10:26

Nota postcierre:

Y no te olvides que la solucion es de ADMIN !!!

y que si te ha servido no tiene porqué ser en todos los casos necesariamnete asi, pues las nuevas variantes van teniendo que ser controladas por nuevas utilidades, que es lo para lo que te pedíamos la muestra., Si en esta caso ya la controlaba, y lo has eliminado, muy bien, pero no sabemos lo que te ha podido hacer o dejar en la máquina...

Ante las cosas raras, mucho mejor enviar muestra y asi lo controñamos con conocimiento de causa, y podemos solucionar problemas ocultos. Si te hubiera quedado el fichero ya sin llamarlo, envianoslo igualmente para analizarlo y poder controlar lo que pueda haber hecho...

saludos

ms, 14-11-2005

SPYWARE, se abre: ad-w-a-r-e.com (Solucionado)

SPYWARE, se abre: ad-w-a-r-e.com (Solucionado)

ELISTARA

despues

aun asi.....sigue apareciendo

ya lo hice, pero sigue igual

ok ya esta listo!

por cierto

hecho y sigue el problema....

aleluya GRACIAS