Aqui publico Mi log (problema pop-ups) (SOLUCIONADO)

instingtofanimal · Mensaje por **instingtofanimal** » 11 Nov 2005, 18:46

[size=150]Hola

os publico el Log de mi ordenador por Hijackthis. he pasado el Adwatch y el spybot en modo a Seguro tal y como ponia en el tutorial de Spywares, me dice q detecta problemas, los elimino, pero aun asi siguen saliendo los dichosos Pop-ups cada pocos minutos (cuanto mas navego por internet, mas salen), si que pude eliminar el command.exe (virus) gracias al Elistara, pero sigo con el problema de los popups. Si alguien me pudiera decir q puedo hacer sin tener q formatear lo agradeceria.

gracias de antemano[/size]

:arrow:

Logfile of HijackThis v1.99.1

Scan saved at 18:34:36, on 11/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopOE.exe

C:\Documents and Settings\Manuel\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [msresearch] c:\windows\msresearch.exe

O4 - HKLM\..\Run: [sp2update] c:\windows\sp2update00.exe

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [zfmq] C:\ARCHIV~1\COMMON~1\zfmq\zfmqm.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab

O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/supergerball/miniclipGameLoader.dll

O16 - DPF: {87056D28-9730-4A47-B9F9-7E890B62C58A} (WildfireActiveXHost Class) - http://www.shockwave.com/content/tumblebugs/axhost.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ED699079-C19C-4178-A795-520883466BDF}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\kudfi.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFudWVsIEdhcmPtYSBTYXJhZmlhbg\command.exe (file missing)

O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\MANUEL~1\CONFIG~1\Temp\hpdj.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

:arrow:

Mensaje por **maura63** » 11 Nov 2005, 18:55

Elimina estas del troyano

O4 - HKLM\..\Run: [msresearch] c:\windows\msresearch.exe

y estas tambien

O4 - HKCU\..\Run: [zfmq] C:\ARCHIV~1\COMMON~1\zfmq\zfmqm.exe

O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/supergerball/miniclipGameLoader.dll

O16 - DPF: {87056D28-9730-4A47-B9F9-7E890B62C58A} (WildfireActiveXHost Class) - http://www.shockwave.com/content/tumblebugs/axhost.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\kudfi.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFudWVsIEdhcmPtYSBTYXJhZmlhbg\command.exe (file missing

O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\MANUEL~1\CONFIG~1\Temp\hpdj.exe (file missing)

Saludos

maura63

Mensaje por **msc hotline sat** » 11 Nov 2005, 19:40

La presencia de esta clave denota la existencia de un troyano que no podrá ser eliminado facilmente, ya que se carga aun arrancando en modo seguro.

O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\kudfi.dll

Prueba de arrancar en modo seguro en solo simbolo de sistema y mover este fichero C:\WINDOWS\system32\kudfi.dll a una carpeta de cuarentena, y tras arrancar de nuevo es posible que ya puedas eliminar dicha clave.

Aparte envianos este fichero a zonaviris@satinfo.es indicando en el textp la referencia "REF kudfi" y lo incluiremos en el control del ELISTARA, para poder usarlo en el modo indicado y eliminar directamente fichero y clave.

De tpdas formas, por si fuera de nombre variable y ya lo conocieramos, arranca en dicho modo (seguro con solo simbolo de sistema) y ejecuta la ultima version que te descargues hoy del ELISTARA (hay una nueva cada día !)

Ademñass dicha version ya le elimina automaticamente la penultima clave indicada correctamente por maura63)

saludos

ms, 11-11-2005

instingtofanimal · Mensaje por **instingtofanimal** » 11 Nov 2005, 20:24

[size=150]he borrado como me habeis dicho los archivos con el hijackthis, realmente no se si tenia que haberlo hecho asi porque es la primera vez que me pasa esto..

Y aun asi sigo teniendo los Pop-ups

respecto a lo de meterme en modo seguro con el simbolo de sistema creo q sere capaz pero no se como se hace para mover archivos y tal desde ahi o lanzar el elistara.. por favor si me podeis indicar como puedo hacerlo. ahora en el 020 no aparece lo del kudfi.dll

Gracias[/size]

:arrow:

Logfile of HijackThis v1.99.1

Scan saved at 19:29:17, on 11/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\rundll32.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopOE.exe

C:\Documents and Settings\Manuel García\Escritorio\hijackthis\HijackThis.exe

C:\WINDOWS\system32\Notepad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sp2update] c:\windows\sp2update00.exe

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ED699079-C19C-4178-A795-520883466BDF}: NameServer = 80.58.61.250,80.58.61.254

O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\p08qlal51dq.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFudWVsIEdhcmPtYSBTYXJhZmlhbg\command.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

:arrow:

Mensaje por **maura63** » 11 Nov 2005, 20:49

Manda muestras pues cambia de nombre con cada arranque, ahora se llama

O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\[color=red]p08qlal51dq.dll [/color]

mas o menos = a paquito el de los palotes

Saludos

maura63

instingtofanimal · Mensaje por **instingtofanimal** » 11 Nov 2005, 21:15

hola, no consigo enviar el archivo, porque no puedo copiarlo ni comprimirlo en zip ni nada porque me dice que esta en uso.. como puedo hacer?

por cierto si veis en el log cosillas q puedan considerarse m***da aunq no sea malo, agradeceria q me lo dijerais. cualquier consejo es bueno porque no entiendo mucho del tema. tampoco entiendo muy bien como funciona el hijackthis, es un programa q te dice todo lo que esta activo y se elimina dandole al Fix checked?

el email para mandar el dll es virus@satinfo.es verdad?

Mensaje por **maura63** » 11 Nov 2005, 21:24

el e:mail si, a esa direccion.

Hazlo arrancando en modo seguro para que supuestamente no este en uso.

Saludos

maura63

Mensaje por **msc hotline sat** » 11 Nov 2005, 21:28

Mira, como que está lanzado por un winlogin notify, prueba de arrancar en modo seguro con solo simbolo de sistema, y desde DOS ve a c:\windows\system32 y copia este fichero a otra parte del dico duro, por ejemplo al directorio raiz:

COPY C:\WINDOWS\SYSTEM32\p08qlal51dq.dll C:\

Pero el nombre del fichero cambia en cada reinicio, como te ha indicado maura63, por lo que puede que ahora tengas otro. EL que tengas lo sabrñas lanzando un HJT y mirando la clave 020 - Winlogon Notify ...

Este es el nombre que has de poner en la entrada de comandos antes indicada.

Y una vez copiado el fichero a otra parte, lo eliminas del sitio inicial con:

DEL c:\windows\system32\p08qlal51dq.dll o el nuevo nombre que tenga

Tras ello arranca de nuevo y ya podras lanzar el HJT, marcar esta clave (a la izquierda del todo) y eliminarla con FIX

Ojo con la eliminacion de claves. Eliminar una que no debes puede conllevar perderlo todo, asi que nada de hacer pruebas !!!

Y una vez hayas reiniciado, envianos el fichero en cuestion, copiado en el directorio raiz, mejor a zonavirus@satinfo.es e indicando Referencia REF INSTING y asi podremos contestarte como respuesta a este Tema

saludos

ms, 11-11-2005

instingtofanimal · Mensaje por **instingtofanimal** » 12 Nov 2005, 00:18

he probado las 2 cosas que me habeis dicho, tanto en windows en modo seguro como en Dos (q tmbien es windows) en modo seguro. en el primer caso no me deja copiarlo porque esta en uso y en el segundo cuando intento copiarlo en DOS(tras haber hecho un HJT en DOS para saber cual es el nuevo archivo) me dice q "el sistema no puede hallar el archivo) he hecho un dir en la carpeta system32 y no aparece.. asi q se debe de cargar cuando windows se inicia. he hecho un intento de enviaroslo por correo.

yo creo q he hecho todo bien, al iniciar el ordenador pulso f8 hasta q me aparece un menu donde puedo elegir entre iniciar en modo seguro, iniciar normalmente, etc.. y luego elijo modo seguro con simbolo de sistema.

Si se os ocurre otra cosa que pueda hacer para conseguir eliminarlo os lo agradeceria

pensais que tiene algo que ver este archivo ese con los pop-ups?

Mensaje por **msc hotline sat** » 12 Nov 2005, 07:23

Es muy propable que sea el creador de POPUPS. Si usara el antispyware de McAfee, muy posiblemente lo detectaría como LOOK2ME, como las muestras que nos han enviado:

https://foros.zonavirus.com/viewtopic.php?t=9263&start=15

Muy bien por lanzar el HJT y ver el nombre del fichero en dicho arranque, pero no reinicie de nuievo, claro, y el fichero debe estar, pero puede tener atributos de R, S, H y no verlo. Haga un dir /a en dicho directorio y si es el caso, con el ATTRIB elimine los atributos del fichero y podrá copiarlo

saludos

ms, 12-11-2005

instingtofanimal · Mensaje por **instingtofanimal** » 12 Nov 2005, 13:17

hola de nuevo

acabo de probar lo que me has aconsejado, donde el simbolo de sistema hacer un Attrib y me aparece q el archivo tiene los atributos S y R, supongo q por eso sale oculto. Y perdona mi ignorancia pero no se como borrar los atributos esos porq cuando pongo el Attrib (nombre de archivo).dll pues me sale la informacion nada mas, intuyo q borrando los atributos apareceria visible y se podria manejar y copiar pero no se como se hace para borrarlos.

otra cosa, respecto a lo del Look2me, q parece posible que lo tenga, tendria algun problema por intentar eliminarlo como viene explicado en el foro, aunq no esté seguro de tenerlo?

gracias

Mensaje por **msc hotline sat** » 14 Nov 2005, 10:53

Antes envianos la muestra, pues asi podremos ayudarte ante los restos o acciones que ya haya hecho.

Para ello, lanza ATTRIB -R -S para borrar estos dos atributos, y tras ello ya podras verlo y copiarlo para enviarnoslo o moverlo para ponerlo fuera de circulacion.

Hoy estamos haciendo una nueva version del ELISTARA que es posible que lo controle, y sino, con la muestra que nos envies, controlará este tuyo cpn lo que veamos que hace.

Tras ello puedes bajar la utilidad que propone ADMIN en su articulo para el LOOK2Me:

http://www.zonavirus.com/datos/articulos/183/Como_eliminar_spyware_Look2Me.asp

saludos

ms, 14-11-2005

instingtofanimal · Mensaje por **instingtofanimal** » 14 Nov 2005, 15:27

Bien ha sido imposible copiar o eliminar el archivo en modo simbolo de sistema ya que se encuentra en uso puesto que se carga con el winlogon, asi q lo he hecho de otra manera, directamente he puesto el disco duro en otro ordenador, y desde ahi lo he podido copiar y eliminar (aunque se vuelve a crear otro .dll con lo cual sigo teniendo el virus)

pero ya os he mandado el archivo en un zip asi q espero vuestra respuesta

:arrow:

Mensaje por **maura63** » 14 Nov 2005, 15:37

Y ojo con este

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

Aunque no aceptes la publicidad te carga un regalito.

Saludos

maura63

instingtofanimal · Mensaje por **instingtofanimal** » 14 Nov 2005, 15:44

Bueno acabo de hacer lo que me habeis aconsejado de instalar el desinstalador de LOOK2ME y.. mano de santo! se me ha quitado la publicidad y no me aparece ningun proceso en el 020 del hijackthis por lo que intuyo q no tengo mas el virus, aun asi ya os lo mandé por correo.

publico mi ultimo log para q me certifiqueis que esta todo bien.

Muchisimas gracias :wink:

:arrow:

Logfile of HijackThis v1.99.1

Scan saved at 15:35:43, on 14/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE

C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_explorer.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktopOE.exe

C:\Documents and Settings\Manuel García\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sp2update] c:\windows\sp2update00.exe

O4 - HKCU\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ED699079-C19C-4178-A795-520883466BDF}: NameServer = 80.58.61.250,80.58.61.254

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

:arrow:

instingtofanimal · Mensaje por **instingtofanimal** » 14 Nov 2005, 15:46

si, algo raro habia notado yo en el Plus.. pero jamas imaginé que me instalaría un virus o algo asi.. q tipo de regalito es?

¿Debería eliminar el messenger plus? me fastidia 1 poco pero si me instala un troyano no lo quiero!

Mensaje por **maura63** » 14 Nov 2005, 16:04

Instala Adware/Spyware C2Media" (Lop.com).

Rrealizando muchos cambios sin nuestro consentimientos como:

Agrega Barra de Herramientas inamovible que no se deja borrar.

Agrega URL`s a la carpeta de Favoritos de IE bloqueando su eliminación.

Cambia la pagina de inicio por la de su preferencia y la bloquea.

Agrega iconos inamovibles en es escritorio de Windows.

Enlentece el sistema y puede enviar datos a diferentes sitios asociados.

Saludos

maura63

instingtofanimal · Mensaje por **instingtofanimal** » 14 Nov 2005, 16:35

en efecto el programa instala un adware peligroso, pero solo si se instala el programa de publicidad q le acompaña. es una pena q tenga estos patrocionios porque es un programa muy interesante

Mensaje por **msc hotline sat** » 14 Nov 2005, 16:48

Añade todo, prestaciones y adwares, que mas quieres ? :lol: :lol: :lol:

Es que a los adwares se les está ya considerando legales...

Mira el articulo del Look2Me de nuestro ADMIN:

http://www.zonavirus.com/datos/articulos/183/Como_eliminar_spyware_Look2Me.asp

So se piensa legalizar la marihuana..., los adwares hacen menos daño !!! aunque incordian mucho mas

saludos

ms, 14-12-2005

Mensaje por **msc hotline sat** » 14 Nov 2005, 17:51

Recibida muestra de la DLL pdida. Estamos terminando el ELISTARA de hoy que ya lo controla. A las 19 horas ya estará subido a esta web.

Si persistiera el problema, comentanoslo como respuesra de este Tema, gracias.

saludos

ms, 14-11-2005

Mensaje por **msc hotline sat** » 14 Nov 2005, 18:59

Subida version 10.59 del ELISTARA

descargala y pruebala

esperamos comentarios, gracias

saludos

ms, 14-11-2005

instingtofanimal · Mensaje por **instingtofanimal** » 15 Nov 2005, 18:05

Hola

me acabo de bajar el elistara y de pasarlo, y bien me ha detectado algunos archivos q tenian el P**o Look2me pero los ha eliminado perfectamente

asi q ahora va todo genial; después de esta intensa semana he conseguido eliminar virus, troyanos y adwares y el ordenador me va genial!

Felicidades a todo el equipo. he podido comprobar que haceis un trabajo extraordinario y un monton de usuarios os estaran agradecidos. de ahora en adelante zonavirus es una de las paginas mas importantes para mi, asi q cuando vuelva a tener dudas espero contar con vosotros

mil gracias :D :D :D :D

:arrow:

Mensaje por **maura63** » 15 Nov 2005, 18:13

Pues lo celebramos y solucionado el tema lo cerramos.

Hasta otra.

Saludos

maura63

Mensaje por **maura63** » 15 Nov 2005, 18:14

Mejor dicho que lo cierre San Pedro , el de la llaves que yo las perdi :mrgreen:

Saludos

maura63

Mensaje por **msc hotline sat** » 15 Nov 2005, 18:20

Pues a ver si te coses los bolsillos y no pierdes las llaves!

Y con mucho gusto y el placer de la vicoria, le doy vuelta al cerrojo !

saludos

ms, 15-11-2005

Mensaje por **msc hotline sat** » 16 Nov 2005, 13:23

Nota postcierre

Se ha recibido la muestra con la referencia INSTING. Tal y como ya ha visto se elimina perfectamemnte con el ELISTARA.EXE version actual (10.60)- Gracias por el envio.

saludos

ms, 16-11-2005

Aqui publico Mi log (problema pop-ups) (SOLUCIONADO)

Aqui publico Mi log (problema pop-ups) (SOLUCIONADO)

hola de nuevo

no consigo

sigo igual