No paran de abrirse navegadores y publicidad (SOLUCIONADO)

infinity_ja · Mensaje por **infinity_ja** » 31 Dic 2005, 14:45

Hola,

hace un tiempo que cada vez que me conecto a internet no paran de abrirse popup de publicidad y ventanitas que no son navegadores también de propaganda. Os adjunto el log de HjiackThis.

Gracias de antemano.

Logfile of HijackThis v1.99.1

Scan saved at 14:45:02, on 31/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\Windows\System32\smss.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\spoolsv.exe

C:\Windows\system32\rundll32.exe

C:\Archivos de programa\Anycom\Anycom Bluetooth USB\bin\btwdins.exe

C:\Windows\system32\inetsrv\inetinfo.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Windows\Explorer.EXE

C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\Compaq\EAB\EabServr.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\ARCHIV~1\PANICW~1\POP-UP~1\dpps2.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Archivos de programa\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\Compaq\EAB\EabServr.exe /Start

O4 - HKLM\..\Run: [DataLayer] C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\ARCHIV~1\PANICW~1\POP-UP~1\dpps2.exe"

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Anycom\Anycom Bluetooth USB\btsendto_ie_ctx.htm

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Anycom\Anycom Bluetooth USB\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Anycom\Anycom Bluetooth USB\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{29EDA2CF-5440-440C-8131-242CC1BE8D65}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{29EDA2CF-5440-440C-8131-242CC1BE8D65}: NameServer = 62.36.225.150 62.37.228.20

O20 - Winlogon Notify: ShellCompatibility - C:\Windows\system32\enn6l15s1.dll

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\Anycom\Anycom Bluetooth USB\bin\btwdins.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Mensaje por **msc hotline sat** » 31 Dic 2005, 20:30

Puedes tener troyanos cargados por esta clave:

O20 - Winlogon Notify: ShellCompatibility - C:\Windows\system32\enn6l15s1.dll

Baja la ultima version del ELISTARA y pruebala:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Vigila si te pide muestras, que deberas enviarnoslas para que podamos implementar su control y eliminacion en la proxima version

Informanos del resultado como respuesta de este Tema, gracias

saludos

ms, 31-12-2005

infinity_ja · Mensaje por **infinity_ja** » 02 Ene 2006, 16:36

Hola,

eliminé la clave y depués pasé el EliStarA. Al ejecutar me pide que envíe C:\WINDOWS\SYSTEM32\Q686LGLS16Q6.DLL. Una vez que finaliza muestra el siguiente resultado:

Mon Jan 02 15:57:59 2006

EliStartPage v10.84 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Parrot Flash Update Wizard\Uninstall.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Mis documentos\pixpang16.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Mis documentos\DesarrolloWeb\SQLyog41.exe --> AutoExtraible

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP4\A0000194.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP4\A0000202.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP4\A0000203.dll --> Eliminado, Look2Me

Un saludo.

Mensaje por **msc hotline sat** » 02 Ene 2006, 16:50

Pues si bien ha eliminado los Look2Me que te indica, conviene analizar la muestra en ciestion, ya que es sospechosa de un gusano no conocido o variante de uno conocido.

Tras enviarnoslo lo analizaremos y, si procede, lo añadiremos al ELISTARA.

Mira si tras reiniciar, te da problemas, pues no sabemos todo lo que ha hecho el ELISTARA ya que el log del INFOSAT.TXT que nos has enviado no está completo, y nos informas del resultado, gracias

saludos

ms, 2-1-2006

Ya nos informarñas, y tras enviarnos las muestras, prueba las nuevas versiones que aparezcan del ELISTARA si tienes problemas.

infinity_ja · Mensaje por **infinity_ja** » 02 Ene 2006, 19:29

Hola,

tras reiniciar persiste el problema. He pasado de nuevo el EliStarA y ahora en vez de salirme que notifique el fichero de antes me sale que envíe otro, el C:\WINDOWS\SYSTEM32\lvj2091oe.dll

Otra cosa, cómo os mando la muestra? Intento adjuntar el fichero en un correo y no me deja, tampoco editarlo...

Un saludo.

Mensaje por **msc hotline sat** » 03 Ene 2006, 07:31

Efectivamente es un bicho, que cambia de nombre en cada arranque...

Mira de copiarlo a un disquete, y luego nos lo anexas a un mail como indica el ELISTARA.

EL bicho es el mismo en cada caso, y con uno basta, se llame como se llame. Tan pronto lo recibamos lo implementaremos en la siguiente version del ELISTARA, para su control y eliminacion

Usa siempre la version que descargues del ELISTARA el mismo momento antes de irlo ejecutar, incluyendo la del ELINOTIF.DLL por si es de los que es necesario eliminar los 020 WinLogonNotify a traves de la implementacion del esta DLL con el ELISTARA

saludos

ms, 3-1-2006

NOTA: Para poder copiar el fichero, si tienes problemas, arranca en modo seguro, lanza el HJT para ver como se llama en dicha sesion el fichero lanzado en el grupo 020, y sin reiniciar copialo a un disquete, es que ya sabemos que se resiste !!! ms.

infinity_ja · Mensaje por **infinity_ja** » 03 Ene 2006, 13:22

Hola,

no soy capaz de copiarlo!!!

He arrancado en modo seguro, lanzado el HJT y he visto cuál era el fichero. No me dejaba copiarlo. Le di para eliminarlo y vuelve a aparecer por lo que no puedo copiarlo.

¿Debo pasar el EliStarA en modo seguro antes?

Un saludo.

infinity_ja · Mensaje por **infinity_ja** » 03 Ene 2006, 13:48

Nada, he pasado el EliStarA en modo seguro y no me deja copiar el ficherito, no hay manera!

El EliStarA elimina 4 Look2Me y hay uno que no puede eliminar: GUARD.TMP

Y poco más os puedo contar...por desgracia!

Un saludo.

Mensaje por **msc hotline sat** » 03 Ene 2006, 17:50

Apaga el ordenador y arranca en modo seguro con simbolo de sistema, y como que sabes donde tienes este GUARD.TMP , copialo a un disquete desde DOS. Ello es basico para detectar por cadenas "tu" bicho, que podremos saber vuando analicemos la muestra

Si asi no pudieras, cabe la posibilidad de hacerlo arrancando en consola de recuperacion, con el CD de instalacion, pero no tiene que ser necesario.

saludos

ms, 3-1-2006

infinity_ja · Mensaje por **infinity_ja** » 04 Ene 2006, 12:19

Hola,

busco el GUARD.TMP y no aparece por ningún lado, ¿cómo lo copio entonces? Y si arranco en simbolo de sistema ¿como sabré que fichero debo copiar si cada vez que arranco el fichero es diferente?

Un saludo.

Mensaje por **flacoroo** » 04 Ene 2006, 15:34

mira para copiar un archivo infectado y mandarlo y que no lo detecte el antiivrus....es zipiarlo con el winzip de esa manera lo podras mandar.......

aun asi sigue estas instrucciones.....

[color=darkred]1.- Enciende tu computadora en modo seguro, y deshabilita Restaurar Sistema.

2.- Spybot debe estar actualizado.

3.- Abre tu Spybot …sigue estos pasos:

a).- en el menú modo toma la opción avanzado.

b).- entras en la pestaña herramientas

c).- del lado derecho te aparecerán varias opciones, habilitas todas

d).- después entras a información de desinstalación y vas uno por uno buscando programas que creas que no haz instalado o programas que pueden llevarte a que sea lenta la computadora o tenga fallas, como toolsbars, programas gratuitos para mejorar el puntero del Mouse, emoticons, etc…

e).- También debes eliminar cadenas de programas que están solas o que no hagan referencia a un programa especifico.

Ejemplo: mxhsjxhsga1237493021%dffg$$$hdhdhsjs

f).-Después entras en Inicio de sistemas

g:- Ahí veras a todos los programas que se cargan al comenzar Windows…de lado derecho hay una imagen como un pequeño teclado dale clic para que se abra una ventana…y ahora iras de arriba hacia abajo o inversa…chécando uno por uno cada archivo y ayudándote con la información que te sale lado derecho donde dice base de datos iras haciendo lo siguiente:

1.- deshabiltar todas las que te digan NO NECESARIO…

2.- Eliminar todas las que te digan : virus, troyano, innecesario, etc.

3.-en caso de que no te salga información sobre un programa, debes de ver de que programa es, si vez que es un programa conocido pues no lo deshabilites, en la parte de abajo hay unos archivos que dicen WINLOGON esos no los deshabilites (en caso de tenerlos)

h).- de ahí te iras a la opción Partes Internas del Sistemas y oprimes la opción comprobar y si te sale algo en la ventana de abajo le das reparar los problemas seleccionado y le das borrar a todos.

i).- de ahí te vas a la opción BHOs y eliminas las cadenas que no están en verde

j).- de ahí también el mismo procedimiento a la siguiente opción ActiveX

y de ahí corres el spybot y eliminas todo lo que te salga y inmunizas….[/color]

nos dices como te fue......

infinity_ja · Mensaje por **infinity_ja** » 05 Ene 2006, 13:21

Hola,

realicé los pasos uno por uno y cuando pasé el Spybot no apareció nada para eliminar. He reiniciado y sigue el mismo problema. Voy a intentar enviaros por mail el dichoso fichero a ver si asi pudiera ser...

Un saludo.

infinity_ja · Mensaje por **infinity_ja** » 05 Ene 2006, 13:31

Hola,

acabo de mandar un correo a "irus@satinfo.es" con título "No paran de abrise navegadores de publicidad" con lo único que he podido adjuntar, el fichero GUARD.TMP.VIR que renombra EliStarA cuando no puede eliminarlo. El ficherito (.dll) que se crea cada sesión no lo puedo mandar ya que me dice siempre que está en uso, no puedo ni comprimir, ni enviar, ni nada.

Un saludo.

Mensaje por **msc hotline sat** » 05 Ene 2006, 13:36

Revisa la direccion de envio, pues si es la que dices, no lo recibiremos:

[quote="infinity_ja"]acabo de mandar un correo a "irus@satinfo.es" con título "No paran de abrise navegadores de publicidad"[/quote]

(Falta la v inicial)

Si lo hiciste bien, tam pronto se reciba se examinará y se implementara su control en la procima version del ELISTARA

Si no, repite el envio a la direccion correcta, gracias

saludos

ms, 5-1-2006

infinity_ja · Mensaje por **infinity_ja** » 05 Ene 2006, 18:36

Hola,

efectivamente me equivoqué al escribirlo aquí en el mensaje pero el correo lo mandé a la dirección correcta.

Espero que con la próxima versión se pueda solucionar.

Si me podéis avisar aquí cuando esté la nueva versión...os lo agradecería mucho!

Un saludo.

Mensaje por **msc hotline sat** » 05 Ene 2006, 18:40

Se ha subido ya la nueva version controlando TODAS las muestras recibidas hasta el momento.

Y nos vamos, que vienen los Reyes... !!!

saludos

ms, 5-1-2006

infinity_ja · Mensaje por **infinity_ja** » 06 Ene 2006, 16:35

Hola,

acabo de pasar la nueva versión de EliStarA y sigo en las mimas: renombra fichero que os mandé GUARD.TMP.VIR y cada vez que arranco se detecta una nueva dll

Parece ser que he sido malo y los reyes no se han acordado de mi.

Un saludo.

Mensaje por **msc hotline sat** » 07 Ene 2006, 08:15

Mira de borrar este fichero y si no puedes,. prueba el kILLBOX:

[url=http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp]~~[b]~~killbox[/b][/url] para eliminar proceso activo de un fichero y luego eliminar el fichero

Si no pudieras tampoco, lo podrias hacer seguro arrancando con el CDROM de instalñacion, y ìlsanmo R para accder a la consola de recuperacion, Y al no estar en uso, podras eliminarlo

saludos

ms, 7-1-2006

infinity_ja · Mensaje por **infinity_ja** » 07 Ene 2006, 13:20

Hola,

me he bajado el Killbox y no es capaz de eliminar el fichero en cuestión, me dice que no es posible eliminarlo.

En cuanto al tema de iniciar con el CD, puesto que el fichero es diferente cada vez que se inicia, cómo sé cuál es el que debo eliminar? Necesitaría pasar el EliStarA ...

Un saludo.

Mensaje por **msc hotline sat** » 07 Ene 2006, 13:46

Está programado y se comprueba en otros Temas, que el GUARD.TMP lo renombra a VIR el ELISTARA y luego lo puede eliminar.

[quote="ELISTARA"]Lista de Acciones:

[WinLogon\Notify\SSLDR]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\SSLDR32.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINDOWSUPDATE]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\J40S0ED7EH0.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GUARD.TMP --> Renombrado a .VIR

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}"

Eliminada Carpeta "\Program Files\SpySheriff"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[/quote]

Descartguie la ultioma version del ELISTARA y arrancando en modo seguro, lo lanza y tras ello reinicia, y mire el C:\infosat.txt, y nos informa

saludos

ms, 7-1-2006

infinity_ja · Mensaje por **infinity_ja** » 08 Ene 2006, 13:57

Hola,

reinicié en modo seguro, pasé la última versión de EliStarA y me aparecía el mismo mensaje de que no podía eliminar el fichero guard.tmp.

Con el Killbox finalmente lo pude eliminar con la opción de eliminar al reiniciar y ya no aparece dicho fichero, eso sí, siguen apareciendo las pantallas. No parece haberse solucionado nada.

Os adjunto el InfoSat.txt;

Sun Jan 08 13:32:10 2006

EliStartPage v10.89 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\Parrot Flash Update Wizard\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\PiX Pang\uninst.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Mis documentos\pixpang16.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Mis documentos\DesarrolloWeb\SQLyog41.exe --> AutoExtraible

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP1\A0000005.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP2\A0000034.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP2\A0000046.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP2\A0000057.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP2\A0000067.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP2\A0000075.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP2\A0000077.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP2\A0000088.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\mamdd.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\ppgfilt.dll --> Eliminado, Look2Me

Mensaje por **msc hotline sat** » 08 Ene 2006, 18:23

Bueno, con esta version se han detectado y eliminado dos ficheros mas del Look2Me, aparte de los del RESTORE,

Muy bien con lo del Guard.tmp, cada vez está mejor.

Y para mañana esperamos potenciar el ELISTARA con una nuieva version resultado del analisis de un fichero que nos envian, que es el que segun parece, provoca la deteccion de spuware solicitando auida al SPYAXE,. lo que consigue la intrusion del mismo

Aso que esté atento a las novedades del proximo ELISTARA 10.90

saludos

ms, 8-1-2006

infinity_ja · Mensaje por **infinity_ja** » 11 Feb 2006, 10:22

Hola,

siento el retraso pero no pude escribir antes. Acabo de pasar la última versión de EliStarA y os adjunto el log. Sigo con los problemas de las ventanitas.

Sat Feb 11 09:17:40 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\!Submit\guard.tmp --> Eliminado, Look2Me

C:\Archivos de programa\Parrot Flash Update Wizard\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\PiX Pang\uninst.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Mis documentos\pixpang16.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Mis documentos\DesarrolloWeb\SQLyog41.exe --> AutoExtraible

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP1\A0000004.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP1\A0000011.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP1\A0000020.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP1\A0000022.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP1\A0000033.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP1\A0000039.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP1\A0000046.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP1\A0000054.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP2\A0000064.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP2\A0000074.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP2\A0000085.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP2\A0000094.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP2\A0000110.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP2\A0000112.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP3\A0000122.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP3\A0000126.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP3\A0000138.DLL --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP4\A0000149.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP4\A0000165.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP4\A0000173.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP4\A0000183.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP4\A0000193.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP4\A0000199.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP4\A0000210.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP4\A0000214.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP4\A0000223.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP5\A0000246.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP5\A0000257.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP6\A0000271.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP6\A0000281.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP6\A0000282.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP6\A0000296.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP6\A0000297.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP7\A0000312.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP7\A0000320.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP7\A0000326.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP8\A0000337.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP8\A0000341.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP8\A0000349.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP8\A0000360.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP8\A0000374.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\bcsendto.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\bpdispl.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\CZDLGFR.DLL --> Eliminado, Look2Me

C:\WINDOWS\system32\smlwid.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\szripto.dll --> Eliminado, Look2Me

Un saludo.

Mensaje por **msc hotline sat** » 11 Feb 2006, 10:42

El ELISTARA ha encontrado lo conocido, y si hay algo mas lo veremos si nos posteas el log del HJT actual, pero hazlo arrancando en modo seguro, gracias

saludos

ms, 11-2-2006

infinity_ja · Mensaje por **infinity_ja** » 12 Feb 2006, 11:48

Logfile of HijackThis v1.99.1

Scan saved at 11:48:02, on 12/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\Windows\System32\smss.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\spoolsv.exe

C:\Windows\system32\rundll32.exe

C:\Archivos de programa\Anycom\Anycom Bluetooth USB\bin\btwdins.exe

C:\Windows\system32\inetsrv\inetinfo.exe

C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Windows\Explorer.EXE

C:\ARCHIV~1\PANICW~1\POP-UP~1\dpps2.exe

C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\Compaq\EAB\EabServr.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrador\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\ARCHIV~1\PANICW~1\POP-UP~1\dpps2.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\Compaq\EAB\EabServr.exe /Start

O4 - HKLM\..\Run: [DataLayer] C:\ARCHIV~1\ARCHIV~1\PCSuite\DATALA~1\DATALA~1.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Anycom\Anycom Bluetooth USB\btsendto_ie_ctx.htm

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Anycom\Anycom Bluetooth USB\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\Anycom\Anycom Bluetooth USB\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{29EDA2CF-5440-440C-8131-242CC1BE8D65}: NameServer = 62.36.225.150 62.37.228.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{29EDA2CF-5440-440C-8131-242CC1BE8D65}: NameServer = 62.36.225.150 62.37.228.20

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: SMDEn - C:\Windows\system32\p6n8lg5u16.dll

O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Archivos de programa\Anycom\Anycom Bluetooth USB\bin\btwdins.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Un saludo

Mensaje por **msc hotline sat** » 13 Feb 2006, 03:58

En los informes del ELISTARA no postea la primera parte y quizas alli se le pide enl envio de muestras ???

En cualquier caso, envienos muestra del fichero que lanza en la posicion 020 del HJT, y que vemos que tiene diferente nombre en cada sesion, poe lo que primero lance el HJT para saberlo, y lo anexa a un mail a zonavirus@satinfo.es en cuyo texto indique REF NOELI y por otro lado nos postea el C:\INFOSAT.TXT entero, gracias

saludos

ms, 13-2-2006

infinity_ja · Mensaje por **infinity_ja** » 18 Feb 2006, 11:37

Hola,

vamos a ver, este es el mismo problema que llevo arrastrando meses, no puedo copiar, adjuntar o eliminar dicho fichero. No soy capaz de poder enviarlo. Así que a ver cómo lo hacemos...

Un saludo.

Mensaje por **msc hotline sat** » 19 Feb 2006, 07:35

No eres el unico ... los hay que se resisten !!! Usan tecnicas de ocultacion,. permisos, atributos y que cuando estan en uso no hay manera de no siquiera moverlos !!!

Mira el Tema :

que posiblemente ya tenganos controlado, y hasta nos ha podido enviar la muestra, que analizaremos mañana, en cuanto entremos al trabajo

Oeri soibretoido, utiliza el ELISTARA u el ELINOTIF actuales y posteanos el C:\INFOSAT-TXT COMO TE PEDIMOS.

Mensaje por **msc hotline sat** » 19 Feb 2006, 07:37

No eres el unico ... los hay que se resisten !!! Usan tecnicas de ocultacion,. permisos, atributos y que cuando estan en uso no hay manera de ni siquiera moverlos !!!

Mira el Tema :

https://foros.zonavirus.com/viewtopic.php?t=10468&highlight=

que posiblemente ya tenganos controlado, y hasta nos ha podido enviar la muestra, que analizaremos mañana, en cuanto entremos al trabajo

Pero sobretoido, utiliza el ELISTARA y el ELINOTIF actuales y posteanos el C:\INFOSAT-TXT COMO TE PEDIMOS.

infinity_ja · Mensaje por **infinity_ja** » 26 Feb 2006, 13:21

Sun Feb 26 12:31:17 2006

EliStartPage v11.23 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\OFFICEUPDATE]

Por favor, envienos una muestra del fichero

C:\WinLogon\LV6209JOE.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GUARD.TMP --> Eliminado Look2Me

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Feb 26 12:39:28 2006

EliStartPage v11.23 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Parrot Flash Update Wizard\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\PiX Pang\uninst.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Mis documentos\pixpang16.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Mis documentos\DesarrolloWeb\SQLyog41.exe --> AutoExtraible

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP10\A0000474.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP10\A0000512.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP11\A0000547.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP8\A0000388.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP8\A0000389.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP8\A0000390.DLL --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP8\A0000392.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP8\A0000393.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP8\A0000397.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP8\A0000409.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP9\A0000421.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP9\A0000428.dll --> Eliminado, Look2Me

C:\System Volume Information\_restore{2ED4C591-3A88-4943-B3F6-23409923E05F}\RP9\A0000430.dll --> Eliminado, Look2Me

No Detectada Utilidad "ELINOTIF.DLL" (necesaria para la Limpieza)

Sun Feb 26 13:00:16 2006

EliStartPage v11.23 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\OFFICEUPDATE]

Por favor, envienos una muestra del fichero

C:\WinLogon\LV6209JOE.DLL

a "virus@satinfo.es". Gracias.

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Eliminados Ficheros Temporales del IE

Sun Feb 26 13:02:28 2006

EliStartPage v11.23 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Parrot Flash Update Wizard\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\PiX Pang\uninst.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Mis documentos\pixpang16.exe --> AutoExtraible

C:\Documents and Settings\Administrador\Mis documentos\DesarrolloWeb\SQLyog41.exe --> AutoExtraible

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.6.02.20 (c)2005 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Look2Me

Elininada KEY "Winlogon\Notify\App Paths"

Desinstalado EliNotif.dll