Estoy desquiciado,a ver si pueden ayudarme (SOLUCIONADO)

argil66 · Mensaje por **argil66** » 27 Nov 2005, 20:37

Desde hace un par de dias , al conectarme no paran de salirme ventanitas de publicidad .He probado con diversas herramientas (Ad-ware SE,Spybot,etc..) pero sigue igual .Asi que os dejo mi log del hijackthis a ver que podeis decirme.

Muchas gracias :

Logfile of HijackThis v1.99.1

Scan saved at 13:38:15, on 27/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\CTSvcCDA.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Archivos de programa\Creative\News\NewsUpd.EXE

C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

C:\Archivos de programa\Creative\ShareDLL\MediaDet.Exe

C:\Archivos de programa\Jazztel\Jazztel ADSL USB\dslmon.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.jazztel.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [NewsUpd] C:\Archivos de programa\Creative\News\NewsUpd.EXE /q

O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 4.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\f60olgd3160.dll

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

Mensaje por **msc hotline sat** » 27 Nov 2005, 20:52

Esta clave es la culpable.

O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\f60olgd3160.dll

Pero no hace falta quie la intentes eliminar con el HJT...no podrás

Prueba la ultima version del ELISTARA a ver si ya conoce dicha variante (cada día hay nievas muestras del mismo)

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Si no lo conoce, pedirá muestra, y nos la envias e implementaremos su control y eliminacion en la proxima version.

Mejor para lanzarlo arranca en modo seguro o si lo detecta pero no puede eliminarlo, en modo seguro con solo simbolo de sistema.

saludos

ms, 27-11-2005

Mensaje por **maura63** » 27 Nov 2005, 20:54

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\f60olgd3160.dll

Pasa la utilidad ELISTARA

Saludos

maura63

argil66 · Mensaje por **argil66** » 27 Nov 2005, 22:05

He pasado el Elistara en modo seguro y me ponia lo siguiente :

fp0403dqe.dll --->look2me

guard.tmp ---> look2me

pxrfts.dll---> look2me

Los .dll los ha eliminado,pero con el .tmp decia que no podia desinfectarlo.

Con el modo seguro con simbolos del sistema no se que hacer,me sale una ventana MSDOS .

Mensaje por **msc hotline sat** » 28 Nov 2005, 07:26

El guard.tmp debía estar en uso y lo habrña eliminado en el siguiente reinicio

Mira si aun lo tienes, y si es el caso eliminalo arrancando en modo seguro, o como maximo con el CD de instalacion entrando en consoloa de recuperacion.

Pero lo importrante es que ya no tengas la clave 020 que no podias eliminar, compruebalo mirando el log de un HJT que lances ahora.

saludos

ms, 28-11-2005

argil66 · Mensaje por **argil66** » 28 Nov 2005, 13:19

Muchas gracias, de momento no me salen mas ventanitas.

Ademas he comprobado que la entrada O20 ha desaparecido.

Tambien utilice el programa que proponeis en un articulo de vuesta pagina :

http://www.ad-w-a-r-e.com/cgi-bin/UnInstaller,

por si ha alguien le resulta útil.

Lo dicho,que muchas gracias.

Mensaje por **msc hotline sat** » 28 Nov 2005, 13:21

Pues lo celebramos, y spñucionado el Tema, procedemos a cerrarlo

saludos

ms, 28-11-2005