Ayuda por favor!! Ventanas de propaganda molestisimas!!!

[Dark_Evil]

Hola, tengo un problema muy comun ultimamente que es el de las dichosas ventanitas de publicidad nada mas abrir el iexplorer por primera vez despues de reiniciar que hacen la vida imposible. He pasado el antivirus (McAfee), el Spybot, el Ad-Aware, e incluso el Elistara ver. 10.52 y no hay manera.



Os agradeceria enormemente si me pudieseis dar una solución.



Logfile of HijackThis v1.99.1

Scan saved at 21:27:02, on 09/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\ARCHIV~1\IZArc\IZArc.exe

C:\DOCUME~1\Carlos\CONFIG~1\Temp\ztv3\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Descargar con Star Downloader - C:\Archivos de programa\Star Downloader\sdie.htm

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\l6l6lg3s16.dll

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Q2FybG9z\command.exe (file missing)

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe





Muchas gracias anticipadas. Un Saludo!

[maura63]

C:\ARCHIV~1\IZArc\IZArc.exe ?????? LO CONOCES



Elimina estas





O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\l6l6lg3s16.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Q2FybG9z\command.exe (file missing)





Y conecta con windows update y actualiza, te faltan parches + SP2 + parches posteriores.



Saludos

maura63

[msc hotline sat]

Con el ELISTARA 10.52 no controlabamos muchas variantes incluidas en la version actual.



Bajar la ultima version y ejecutarla, que seguro que encontrará mas cosas y en su caso pedirá muestras de sospechosos.



saludos



ms, 10-11-2005

[Dark_Evil]

Muchisimas gracias a los dos, voy a ponerme a ello. Os cuento en cuanto acabe. :D

[Dark_Evil]

El IZARC si que lo conozco, es un compresor de archivos tipo WinZip, Win Rar y demas. Puede descomprimir la mayoria de los formatos usados habitualmente.



He pasado el ultimo Elistara y me ha eliminado uno, pero me siguen saliendo, por lo que voya proceder a eliminar las entradas que me habeis comentado.

[Dark_Evil]

Por cierto, al ejecutar el Elistara me ha pedido que envie un archivo llamado l6l6lg3s16.dll. Ya esta enviado.

[msc hotline sat]

Pues muchas gracias, será estudiado, analizado y aplicado para contrarlo en proxima utilidad



Marco este Tema para informar al respecto, pues al no haberse enviado a la cuenta de zonavirus y sin referencia, llega a la cuenta de virus en la que solo se reciben unas 1000 muestras diarias ...



Miorarñe de rescatar esta en particular y darle prioridad



saludos



ms, 11-11-2005

[msc hotline sat]

Al pedir buscaran tu mail, han visto que el unico que decia enviar este fichero se ga recibido sin fichero anexo, por lo que se ha solicitado por mail la repeticion del envio.



Envianoslo empaquetado en un ZIP con password VIRUS para que asi no lo intercepte ningun servidor por el camino, y cuando nosotros lo recibamos podamos abrirlo con dicho password



Aplazamos su analisis hasta entonces, logicamente



saludos



ms, 11-11-2005

[Dark_Evil]

He intentado volver a mandar el mensaje pero no me dejaba manipularlo. Ni comprimirlo, ni copiarlo en el escritorio, nada. Me decia que estaba siendo utilizado. Entonces he reiniciado la maquina y dicho archivo ya no estaba y al ejecutar el Elistara me dice que envie otro diferente (R2P8LC7U1F.DLL). Espero que no me vuelva a pasar lo mismo con este.



Entre tanto las ventanitas siguen apareciendo sin descanso, que cansinas.



Os mando el nuevo archivo no? Un saludo y gracias de nuevo por el interés.

[instingtofanimal]

pues a mi me pasa exactamente lo mismo, y siento no poder ayudarte por el momento ya que no tengo ni idea de estas cosas, mira este es el mensaje que dejé yo https://foros.zonavirus.com/viewtopic.php?topic=9310

en la linea 020 del HJT hay un archivo .dll del winlogon que cambia cada vez que se reinicia el ordenador y a ti tambien te cambia, pero parece ser que es el mismo troyano, y no deja manipularlo, ni siquiera copiarlo. me salen ventanitas cada poco, sobretodo cuando navego en internet. son un coñazo, spero q se solucione pronto el problema, suerte

(por cierto el virus me lo instalé sin querer de un archivo de crack. no hay q ejecutar nunca archivos .exe q no sean de confianza)

[msc hotline sat]

Hay varios malwares que utilizan la carga a trabes del WinLogom Motify para cargarse aunque se arranque en modo seguro. Puede probarse de mover el fichero arrancando en modo seguro con solo simbolo de sistema, desde DOS, pero atencion que algunos de ellos cambian de nombre en cada reinicio...



Moviendo el fichero a cualquier otra carpeta, ya no lo encontrará en el siguiente reinicio, y sin el virus en memoria podrá manipularse el fichero y enviarnoslo. Y si no, hacerlo con la consola de recuperacion, arrancando con el CDROM de instalacion y pulsando R, con lo qiue es seguro que nada del disco duro estará en uso !!!



saludos



ms, 12-11-2005



[b] Y POR FAVOR, instingtofanimal

MANTENGASE EN SU TEMA, NO POSTEE PARALELAMENTE EN OTRO PARA NO PERDER EL HILO, O TENDREMOS QUE CERRAR EL SUYO ! ms. [/b]

[Dark_Evil]

Bueno pues he intentado desde modo seguro, desde simbolo de sistema y nada de nada. Cada vez que reinicio el Elistara me pide que envie un archivo nuevo. Todos estan en System32 y a pesar de que me pida otro archivo q se llama distinto, los anteriores aun estan ahi. No se que hacer.



He vuelto a pasar el Ad-Aware, el Spybot y el Elistara ver. 10.57 y siguen saliendo los pop-ups. Os paso de nuevo el log a ver si encontrais algo nuevo...



Logfile of HijackThis v1.99.1

Scan saved at 17:23:04, on 12/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE

C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe

C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\ARCHIV~1\IZArc\IZArc.exe

C:\DOCUME~1\Carlos\CONFIG~1\Temp\ztv3\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Descargar con Star Downloader - C:\Archivos de programa\Star Downloader\sdie.htm

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\l6l6lg3s16.dll

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Q2FybG9z\command.exe (file missing)

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



Pues lo dicho, esto es desesperante, estoy del "Casino nosecuantas", y de "haz amigos a distancia" hasta los mismisimos (con perdón).



En fin, de nuevo muchas gracias por vuestra ayuda.

[msc hotline sat]

Todo lo que nos dice ya lo sabemos, lease mi ultimo post de este Tema y le decimos que mueva el fichero (copiarlo a otra parte y borrarlo del sitio original), que es diferente cada vez y que puede ver el nombre lanzando el HJT en aquella sesion, y tras haberlo movido (y consecuentemente borrado del sitio original), reiniciando ya no podrña cargarse en memoria y podrá eliminar la dichosa clave 020 del winlogon notify, que además le saldrá con "file mising", y nos envia el fichero que había movido para poder controlar esta nueva variante, y listos, ya no tendrá popups, y con el proximo ELISTARA que hagamos tras recibir y estudiar la muestra, ya será controlado y eliminado facilnente.



Un poco mas de paciencia que hasta que no son controlados, todos los virus tienen su historia, y tenga en cuenta que son mas de 155.000 los que llevamos conocidos hasta el momento... así que por uno mas no nos rasguemos las vestiduras :lol: :lol: :lol:



Luego será tan facil como ejecutar el ELISTARA, arrancando del modo adecuado, como con todos los demás virus ya controlados, y este pertenece a una familia que todos hacen casi lo mismo, lo unico es que hemos e conocer su interior para controlarlo por cadenas, pues con nombre variable en cada reinicio, es preciso una muestra de cada variante si se quiere hacer una utilidad automatica, aunque manual, una vez borrado el fichero y la clave, listos !



Venga que lo tiene pisado por el cuello, no lo suelte !!!



Siga lo indicado y si tiene algun problema diganoslo, que se lo aclararemos



saludos



ms, 12-11-2005

[Dark_Evil]

Veamos, desde modo seguro no me deja moverlo a ningun lado, sigue estando en uso. Y desde solo simbolo de sistema no me lo encuentra, no se si por que no acepta el nombre o porque, pero el caso es que exploro el system32 con DIR y no me lo encuentra.



Supongo que ya solo me queda la opcion de la consola de recuperacion, pero no tengo ni idea de como va. Es como un simbolo de sistema arrancado desde el cd? :?:



Gracias y un saludo de nuevo.

[msc hotline sat]

Por si estuviera oculto, haga dir /a , y si asi lo encontrara, con el ATTRIB quitele los atributos



Y efectivamente, arrancando con el CD de instalacion y pulsando R, se entra en consola de recuperacion que es un DOS basico con el que se accede a la zona NTFS de datos del XP



saludos



ms, 12-11-2005

[Dark_Evil]

Bueno, por fin, y despues de muchos esfuerzos y a traves de la consola de recuperacion del cd de Windows XP he conseguido eliminar el dichoso virus. Finalmente pude copiarlo y eliminarlo (cambiando atributos previamente ya que me daba acceso denegado). Su nombre final fue "Guard.tmp" y lo he enviado a virus@satinfo.es para que puedan analizarlo.



Ahora que el archivo ya no esta, la entrada 20 me salia con "file missing" o algo asi... ¿Se puede eliminar? O Se mantiene asi...



En cualquier caso muchisimas gracias por la ayuda y el interes.



Si hay cualquier problema con el archivo que os envio no duden en decirlo que lo vuelvo a enviar.



Un saludo!

[Dark_Evil]

Por cierto, lo he enviado en un zip con conraseña "VIRUS".



Un saludo y gracias!

[msc hotline sat]

Recibida muestra, pasamos a implementarla en el ELISTARA.EXE en la version de hoy.



Le notificaremos cuando esté lista, pero además de ello, al ser detectada por McAfee como Look2Me, puede probar lo indicadoi en el articulo de nuestro ADMIN al respecto:



http://www.zonavirus.com/datos/articulos/183/Como_eliminar_spyware_Look2Me.asp





saludos



ms, 14-11-2005

[msc hotline sat]

Acabada la version 10.59 del ELISTARA que controla su muestra y todas las recibidas hasta el momento



---v10.59-(14 de Noviembre del 2005) (Muestras de Look2Me, SpyFighter)





Pruebela y nos comenta el resultado, gracuias



saludos



ms, 14-11-2005

[msc hotline sat]

Y pruebe nuestra ultima version 10.59 del ELISTARA, que igual ya lo controla y se lo soluciona muy facilmente:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







y nos comenta el resultadio, gracias



saludos



ms, 14.11.2005