problema con secure32 (SOLUCIONADO)

sergarob · Mensaje por **sergarob** » 11 Dic 2005, 15:32

he leido en el foro varios post sobre este virus. A mi tambien me ha afectado. En la pagina de inicio sale una pantalla azul avisandome de que tengo el ordenador infectado y en la barra de direcciones aparece algo asi como c:\secure32.html. El caso es que no se como quitarlo y he empezado a tener un grave problema: empiezo a ver como se envian correos desde mi ordenador de forma masiva a correos que desconozco pero es que me bombardea con correos salientes.

El Log que he conseguido con el hijackthis es el siguiente:

Logfile of HijackThis v1.99.1

Scan saved at 13:22:24, on 11/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\U2VyZ2lvIEdhcmNpYSBSb2JyZXM\command.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\ARCHIV~1\NORTON~1\navapw32.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE

C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Winamp\Winampa.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\WINDOWS\garpaxh.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Archivos de programa\ISTsvc\istsvc.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe

C:\Archivos de programa\Common Files\VCClient\VCClient.exe

C:\Archivos de programa\Common Files\VCClient\VCMain.exe

C:\Archivos de programa\Logitech\ImageStudio\LowLight.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\NMain.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqgalry.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Norton AntiVirus\Navw32.exe

C:\Archivos de programa\Norton AntiVirus\QSERVER.EXE

D:\SERGIO\hijackthis 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE

O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe

O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [cIWBKheDJ] C:\WINDOWS\garpaxh.exe

O4 - HKLM\..\Run: [IST Service] C:\Archivos de programa\ISTsvc\istsvc.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe /SCB

O4 - HKCU\..\Run: [CU1] C:\Archivos de programa\Common Files\VCClient\VCClient.exe

O4 - HKCU\..\Run: [CU2] C:\Archivos de programa\Common Files\VCClient\VCMain.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Descargar TODO con FlashGet. - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar usando FlashGet. - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.3.5.cab

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\system32\msctl32.dll

O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\h4l20e3oeh.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2VyZ2lvIEdhcmNpYSBSb2JyZXM\command.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

La verdad es que no se que hacer pero he leido en este foro y en otros que se deben borrar ciertos archivos y pasar diversas herramientas. Os agradeceria que me pudieseis ayudar pues estoy bastante desesperado con el asunto, he tenido que apagar mi router incluso para que deje de enviar correos salientes sin parar.

Un saludo y gracias

Mensaje por **msc hotline sat** » 11 Dic 2005, 16:43

Tienes los SPYWARE IstBar, Startpage, y el adware CommAD

Ante todo descarga el ELISTARA y arranca en modo seguro y lanzalo.

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Y tras reiniciar, nos cuentas el resultado como respuesta de este Tema. gracias

saludos

ms, 11-12-2005

sergarob · Mensaje por **sergarob** » 11 Dic 2005, 21:19

la pagina de inicio arreglada pero sigue el bombardeo de correos salientes

mi log: (despues de pasar el antispyware)

Logfile of HijackThis v1.99.1

Scan saved at 19:49:52, on 11/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDLL32.exe

C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\ARCHIV~1\NORTON~1\navapw32.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE

C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Winamp\Winampa.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Archivos de programa\Logitech\ImageStudio\LowLight.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe

C:\Archivos de programa\Common Files\VCClient\VCClient.exe

C:\Archivos de programa\Common Files\VCClient\VCMain.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqgalry.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\msiexec.exe

D:\SERGIO\hijackthis 1.99.1\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE

O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe

O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [cIWBKheDJ] C:\WINDOWS\garpaxh.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe /SCB

O4 - HKCU\..\Run: [CU1] C:\Archivos de programa\Common Files\VCClient\VCClient.exe

O4 - HKCU\..\Run: [CU2] C:\Archivos de programa\Common Files\VCClient\VCMain.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Descargar TODO con FlashGet. - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar usando FlashGet. - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.3.5.cab

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\system32\msctl32.dll

O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\jt8207loe.dll

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

alguien podria ayudarme???

gracias

Mensaje por **msc hotline sat** » 12 Dic 2005, 08:26

Puedes eliminar estas claves:

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab

Estas son sospechosas. SI no las conoces., eliminalas tambien:

O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-ac tivex-2.0.3.5.cab

y es raro que el ELISTARA no te pidiera miestras de estos, pero en cualquier caso envianoslos a zonavirus@satinfo.es anexados a un mail en cuyo texto indiques como referencia REF 020WINLOG y tras el analisis te informaremos como respuesta de este Tema

O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\system32\msctl32.dll

O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\jt8207loe.dll

y este tambien C:\windows\garpaxh.exe

saludos

ms, 12-12-2005

sergarob · Mensaje por **sergarob** » 12 Dic 2005, 13:15

bueno, he eliminado las lineas del log que me has dicho y me queda un log como este:

Logfile of HijackThis v1.99.1

Scan saved at 12:55:23, on 12/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDLL32.exe

C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\ARCHIV~1\NORTON~1\navapw32.exe

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE

C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Winamp\Winampa.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe

C:\Archivos de programa\Common Files\VCClient\VCClient.exe

C:\Archivos de programa\Common Files\VCClient\VCMain.exe

C:\Archivos de programa\HP\hpcoretech\comp\hptskmgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Logitech\ImageStudio\LowLight.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqgalry.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\SERGIO\hijackthis 1.99.1\HijackThis.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver3\LVCOMS.EXE

O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Archivos de programa\Logitech\ImageStudio\ISStart.exe

O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Archivos de programa\Logitech\ImageStudio\LogiTray.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [CamMonitor] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [cIWBKheDJ] C:\WINDOWS\garpaxh.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 9 run

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Archivos de programa\Creative\MediaSource\Go\CTCMSGo.exe /SCB

O4 - HKCU\..\Run: [CU1] C:\Archivos de programa\Common Files\VCClient\VCClient.exe

O4 - HKCU\..\Run: [CU2] C:\Archivos de programa\Common Files\VCClient\VCMain.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Descargar TODO con FlashGet. - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar usando FlashGet. - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\p28qlcl51fq.dll

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

No se si he borrado algo de mas pero todavia me salen ventanitas de publicidad y no se si podria eliminarlas. soy novato en esto de los spywares y virus y os agradezco mucho vuestra ayuda.

borre las referencias a winlogon asi que no podre enviaros lo que me pedis.

hace falta hacer algo mas?? muchas gracias

Estoy mosca con esto:

C:\WINDOWS\system32\RunDLL32.exe

C:\WINDOWS\system32\rundll32.exe

Tengo 2 iguales, puede ser alguno de ellos spyware o virus?? como lo elimino en ese caso?

quiza sea un poco paranoico pero no estoy seguro de estos:

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Common Files\VCClient\VCClient.exe

C:\Archivos de programa\Common Files\VCClient\VCMain.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [cIWBKheDJ] C:\WINDOWS\garpaxh.exe

O4 - HKCU\..\Run: [CU1] C:\Archivos de programa\Common Files\VCClient\VCClient.exe

O4 - HKCU\..\Run: [CU2] C:\Archivos de programa\Common Files\VCClient\VCMain.exe

O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\p28qlcl51fq.dll

que pensais?? sigo con spyware o virus??

Muchas Gracias por vuestra ayuda

Mensaje por **msc hotline sat** » 12 Dic 2005, 13:22

Lanza el ELISTARA y peganos el contenido del C:\infosat.txt en tu proximo post de respuesta a este Tema.

Respecto al RUNDLL32, como el SVCHOST, son procesos de windows que pueden lanzar ficheros buenos y malos, asi como ellos mismos pueden ser del sistema operativo o intrusos, pero lo mas probable si estan en la carpeta de sistema es que sean correctos.

Y por el nombre de ficheros no puede saberse necesariamente su contenido ...

Veamos lo que detecta, muestra y pide el ELISTARA...

saludos

ms, 12-12-2005

PD y las DLL de las claves 020 te hemos pedido que nos las envies, junto con el garpaxh.exe, ¿las ha enviado ya?... ms.

Mensaje por **msc hotline sat** » 12 Dic 2005, 19:14

Subida a esta web la version 10.73 del ELISTARA para pruebas de evaluacion en el foro de zonavirus.

Pruebela y nos cuenta el resultado como respuesta de este Tema, gracias

saludos

ms, 12-12-2005

sergarob · Mensaje por **sergarob** » 12 Dic 2005, 22:39

Creo que por fin he resuelto el problema de los spyware. he estado investigando por la red y he conseguido a traves ella informacion de como resolverlo. la verdad es que estaba bastante ansioso por acabar con el maldito problema.

Ya no me salen ventanas de publicidad ni nada por el estilo, pero si en el futuro me encuentro con mas spywares espero que podais echarme una mano.

De todos modos muchisimas gracias por vuestra ayuda, sin ella estaria al borde de un ataque de nervios.

Seguid asi, realizais un trabajo impagable (bueno si, bastante pagable) :wink:

Un saludo

Mensaje por **msc hotline sat** » 13 Dic 2005, 06:55

Pues solucionado el Tema, procedemos a cerrarlo

saludos

ms, 13-12-2005