infectado con spyaxe

pinoalto · Mensaje por **pinoalto** » 08 Dic 2005, 17:12

Espero que me podais ayudar, ya pasé el ad aware y el spybot y no solucioné nada me sale el dichoso cartel de la barra de tareas y la dirección de internet me manda a la pagina de spyaxe dichosa.

Logfile of HijackThis v1.99.1

Scan saved at 17:06:58, on 08/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\mssearchnet.exe

C:\WINDOWS\system32\nvctrl.exe

C:\WINDOWS\system32\carpserv.exe

C:\Archivos de programa\InfoKing\InfoPenMSN\Pro\InfoPenIM.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Conceptronic\Software Bluetooth\BTTray.exe

C:\Archivos de programa\EzCalendar\EzCalendar.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\CONCEP~1\SOFTWA~1\BTSTAC~1.EXE

C:\Archivos de programa\Conceptronic\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Archivos de programa\CPUCooL\CooLSrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\UAService7.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\games\Nueva carpeta (3)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hpC6EB.tmp

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Archivos de programa\Lexmark 3100 Series\lxbrbmgr.exe"

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\xppeqrp.exe

O4 - HKLM\..\Run: [Microsoft Updater] sysrun.exe

O4 - HKLM\..\Run: [Microsoft Windows Services] wupdmgt.exe

O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [balm store exit scr] C:\Documents and Settings\All Users\Datos de programa\web2balmstore\amokbrowse.exe

O4 - HKLM\..\Run: [InfoPenMSN] C:\Archivos de programa\InfoKing\InfoPenMSN\Pro\InfoPenIM.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zdadhltc] C:\WINDOWS\system32\sgcwxg.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [bits eggs defy bin] C:\Documents and Settings\All Users\Datos de programa\mpegloadbitseggs\Does the.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [MNI.UWFX5Y_0001_LP1710] "C:\Nueva carpeta (2)\WinFixer2005ScannerInstallSPN.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [Microsoft Updater] sysrun.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Services] wupdmgt.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [iexplore] C:\WINDOWS\System32\iexplore.exe

O4 - HKCU\..\Run: [Microsoft Updater] sysrun.exe

O4 - HKCU\..\Run: [Microsoft Windows Services] wupdmgt.exe

O4 - HKCU\..\Run: [thirdlong] C:\DOCUME~1\German\DATOSD~1\DENTTH~1\Audio plus.exe

O4 - HKCU\..\Run: [fqui] C:\ARCHIV~1\COMMON~1\fqui\fquim.exe

O4 - HKCU\..\Run: [BPSANTISPY] C:\Archivos de programa\BulletProofSoft.com\SpywareRemover\Spyware.exe /STARTUP

O4 - HKCU\..\Run: [TS 5 ] C:\Archivos de programa\Torrent Searcher 5\ts.exe /hide

O4 - Startup: EzCalendar.lnk = C:\Archivos de programa\EzCalendar\EzCalendar.exe

O4 - Startup: RollerCoaster Tycoon 3 Registration.lnk = ?

O4 - Startup: ubisoft register.lnk = C:\Archivos de programa\Ubi Soft\Register\schedule.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Download using Download &Express - file://C:\WINDOWS\System32\MetaProducts\Add_Url.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie_ctx.htm

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Software - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\emule-pillasoft\index.html (file missing)

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/zenpuzzlegarden/miniclipGameLoader.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/esi/games49.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} - http://www.photodex.com/pxplay.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\Conceptronic\Software Bluetooth\bin\btwdins.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: COM+ System Service - Unknown owner - C:\WINDOWS\system32\SSMS.EXE

O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Archivos de programa\CPUCooL\CooLSrv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: License Management Service ESD - Unknown owner - C:\Archivos de programa\Archivos comunes\element5 Shared\Service\Licence Manager ESD.exe

O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\system32\service.exe (file missing)

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

Mensaje por **msc hotline sat** » 08 Dic 2005, 17:52

Mientras miro lo que hay en el log, prueba la última version del ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras descargarla, arranca en modo seguro, deshabilite la restauracion de sistema y ejecutala-

Y examino el log del HJT por si hay algo mas...

De entrada se observa virus BLASTER.F en:

O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe

http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.f.worm.html

y el Gismor en:

O23 - Service: COM+ System Service - Unknown owner - C:\WINDOWS\system32\SSMS.EXE

http://securityresponse.symantec.com/avcenter/venc/data/w32.gismor@mm.html

y el MyTob e varias claves que ejecutan el SYSRUN.EXE

http://securityresponse.symantec.com/avcenter/venc/data/w32.mytob.aj@mm.html

Proceder como se indica en las premisas de este apartado:

https://foros.zonavirus.com/viewtopic.php?t=5148

tras eliminar el virus, y haber eliminado lo detectado por el ELISTARA, reiniciar y si se persisten anomalias, indicarlas en un proximo post de respuesta a este Tema, posteando además nuevo log del HJT de entonces

saludos

ms, 8-12-2005a

pinoalto · Mensaje por **pinoalto** » 08 Dic 2005, 21:09

Ante todo muchas gracias por la ayuda y la rapidez en contestar, GRACIAS.

Creo haber realizado las operaciones que me aconsejaban, ya no me sale el spyaxe en la barra de tareas y sa ha solucionado la pagina de inicio de internet, pero no sé si todo esta correcto y que debo usar para que no me vuelva a entrar el spyaxe, gracias de nuevo.

Logfile of HijackThis v1.99.1

Scan saved at 21:03:58, on 08/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Conceptronic\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Archivos de programa\CPUCooL\CooLSrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\UAService7.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\apvxdwin.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Lexmark 3100 Series\lxbrbmgr.exe

C:\WINDOWS\system32\carpserv.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\InfoKing\InfoPenMSN\Pro\InfoPenIM.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Conceptronic\Software Bluetooth\BTTray.exe

C:\Archivos de programa\EzCalendar\EzCalendar.exe

C:\Archivos de programa\Lexmark 3100 Series\lxbrbmon.exe

C:\ARCHIV~1\CONCEP~1\SOFTWA~1\BTSTAC~1.EXE

C:\Archivos de programa\Lexmark 3100 Series\lxbrcmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\games\Nueva carpeta (3)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\es\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Archivos de programa\Lexmark 3100 Series\lxbrbmgr.exe"

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\xppeqrp.exe

O4 - HKLM\..\Run: [Microsoft Updater] sysrun.exe

O4 - HKLM\..\Run: [Microsoft Windows Services] wupdmgt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [balm store exit scr] C:\Documents and Settings\All Users\Datos de programa\web2balmstore\amokbrowse.exe

O4 - HKLM\..\Run: [InfoPenMSN] C:\Archivos de programa\InfoKing\InfoPenMSN\Pro\InfoPenIM.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [zdadhltc] C:\WINDOWS\system32\sgcwxg.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [bits eggs defy bin] C:\Documents and Settings\All Users\Datos de programa\mpegloadbitseggs\Does the.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\RunServices: [Microsoft Updater] sysrun.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Services] wupdmgt.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [iexplore] C:\WINDOWS\System32\iexplore.exe

O4 - HKCU\..\Run: [Microsoft Updater] sysrun.exe

O4 - HKCU\..\Run: [Microsoft Windows Services] wupdmgt.exe

O4 - HKCU\..\Run: [thirdlong] C:\DOCUME~1\German\DATOSD~1\DENTTH~1\Audio plus.exe

O4 - HKCU\..\Run: [fqui] C:\ARCHIV~1\COMMON~1\fqui\fquim.exe

O4 - HKCU\..\Run: [BPSANTISPY] C:\Archivos de programa\BulletProofSoft.com\SpywareRemover\Spyware.exe /STARTUP

O4 - HKCU\..\Run: [TS 5 ] C:\Archivos de programa\Torrent Searcher 5\ts.exe /hide

O4 - Startup: EzCalendar.lnk = C:\Archivos de programa\EzCalendar\EzCalendar.exe

O4 - Startup: RollerCoaster Tycoon 3 Registration.lnk = ?

O4 - Startup: ubisoft register.lnk = C:\Archivos de programa\Ubi Soft\Register\schedule.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Download using Download &Express - file://C:\WINDOWS\System32\MetaProducts\Add_Url.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie_ctx.htm

O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: Software - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\emule-pillasoft\index.html (file missing)

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/zenpuzzlegarden/miniclipGameLoader.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/esi/games49.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} - http://www.photodex.com/pxplay.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\Conceptronic\Software Bluetooth\bin\btwdins.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: COM+ System Service - Unknown owner - C:\WINDOWS\system32\SSMS.EXE

O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Archivos de programa\CPUCooL\CooLSrv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: License Management Service ESD - Unknown owner - C:\Archivos de programa\Archivos comunes\element5 Shared\Service\Licence Manager ESD.exe

O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\system32\service.exe (file missing)

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

Mensaje por **msc hotline sat** » 09 Dic 2005, 06:31

Pues podrias desinstalar el MessengerPlus3 que aporta prestaciones y troyanos !

O4 - HKLM\..\Run: [MessengerPlus3] \"C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe\"

Elimina tambien esta clave, que no es normal lanzar el navegador en el arranque !

O4 - HKCU\..\Run: [iexplore] C:\WINDOWS\System32\iexplore.exe

y esta está cortada, eliminala no sea algo raro:

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

y borra tambien estas claves, que prometen ser virus, aunque ello debería hacerse mejor con el antivirus, para eliminar los acompañantes, por lo que luego, sin borrar los ficheros, arrancas en modo seguro, deshablitas a restairacion de sistema y lanzas tu antivirus, para termionar de hacer limpieza

O4 - HKLM\..\Run: [Microsoft Updater] sysrun.exe

O4 - HKLM\..\RunServices: [Microsoft Updater] sysrun.exe

O4 - HKCU\..\Run: [Microsoft Updater] sysrun.exe

O23 - Service: COM+ System Service - Unknown owner - C:\WINDOWS\system32\SSMS.EXE

Si en estos ficheros, SYSRUN.EXE Y SMSS.EXE tu antivirus no detectara virus, dinoslo y te pediríamos que nos enviaras muestras para analizarlos

Y estas 016, aunque son de respaldo, tambien eliminalas:

O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/zenpuzzlegarden/miniclipGameLoader.dll

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/esi/games49.cab

y por ultimo borra estas que ya no pintan nada:

O9 - Extra button: Software - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\emule-pillasoft\index.html (file missing)

O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\system32\service.exe (file missing)

Y mucho sentido comun al navegar por Internet !!! Piensa que te están esperando :lol: :lol: :lol:

saludos

ms, 9-12-2005

NOTA: Tienes muchas mas claves desconocidas, pero mira si con lo indicado es suficiente, no sea que nos pasemos de rosca !

infinity_ja · Mensaje por **infinity_ja** » 13 Dic 2005, 17:03

Hola,

he probado con todo, reiniciar en modo segurao, sin restaurar sistema, pasar el Elisatra de última versión, el Ad-ware, el Spybot, etc. y me sigue saliendo en la barra de programas el dichoso mensaje. Adjunto el log del HijackThis a ver si me podéis ayudar.

Gracias de antemano.

Logfile of HijackThis v1.99.1

Scan saved at 16:46:56, on 13/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\Windows\System32\smss.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\spoolsv.exe

C:\Windows\Explorer.EXE

C:\Archivos de programa\Anycom\Anycom Bluetooth USB\bin\btwdins.exe

C:\Windows\system32\inetsrv\inetinfo.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE

C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

C:\Windows\system32\ltmsg.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\Compaq\EAB\EabServr.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.139\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Archivos de programa\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\Compaq\EAB\EabServr.exe /Start

O4 - HKLM\..\Run: [DataLayer] C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE

O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\compaq\cpqsetup\cpqset.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: SpeedTouch 121g Wireless USB Monitor.lnk = C:\Archivos de programa\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Anycom\Anycom Bluetooth USB\btsendto_ie_ctx.htm

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Anycom\Anycom Bluetooth USB\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Anycom\Anycom Bluetooth USB\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{29EDA2CF-5440-440C-8131-242CC1BE8D65}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{29EDA2CF-5440-440C-8131-242CC1BE8D65}: NameServer = 62.36.225.150 62.37.228.20

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\Anycom\Anycom Bluetooth USB\bin\btwdins.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)

O23 - Service: MySQL5 - Unknown owner - C:\Archivos.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Mensaje por **msc hotline sat** » 13 Dic 2005, 17:15

En las premisas de este apartado se indica bien claro no mezclar dos logs de HJT en un mismo Tema !!!:

https://foros.zonavirus.com/viewtopic.php?t=6268

Además de indicarte que en 10 minutos vamos a subir nueva version de ELISTARA, pruebala y avre nuevo Tema con la descrip`cion de tu peoblema, y el log de entonces, gracias

saludos

ms, 13-12-2005

infectado con spyaxe

infectado con spyaxe

reparaciones efectuados

No puedo con él