Necesito ayuda por favor!!! * (SOLUCIONADO)

nataliadurante · Mensaje por **nataliadurante** » 15 Mar 2006, 19:28

Se me abren ventanas todo el tiempo de propagandas y no puedo sacarlas por favor si me pueden ayudar.

Logfile of HijackThis v1.99.1

Scan saved at 03:27:17 , on 15/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\Copernic Agent\CopernicAgent.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\Administrador\Escritorio\Nueva carpeta\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=userinit.exe

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Archivos de programa\Copernic Agent\CopernicAgentExt.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Realizar la búsqueda utilizando Copernic Agent - C:\Archivos de programa\Copernic Agent\Web\SearchExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Ejecutar Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by101fd.bay101.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\jtps0777e.dll

O21 - SSODL: ubtlbr - {3B7226FC-929F-4F15-AF32-30FA6C592513} - ubtlbr.dll (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Muchas Gracias

Naty

Mensaje por **msc hotline sat** » 15 Mar 2006, 19:42

ELIMINAR ESTAS CLAVES:

O8 - Extra context menu item: Realizar la búsqueda utilizando Copernic Agent - C:\Archivos de programa\Copernic Agent\Web\SearchExt.htm

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\ARCHIV~1\COPERN~1\COPERN~1.EXE

O21 - SSODL: ubtlbr - {3B7226FC-929F-4F15-AF32-30FA6C592513} - ubtlbr.dll (file missing)

Y esta es muy sospechosa:

O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\jtps0777e.dll

Lanzar el ELISTARA y ver si la detecta y elimina o pide muestra o la considera buena:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Y SI PIDE MUESTRAS, ENVIANOSLAS Y LAS CONTROLAREMOS CON UNA NUEVA VERSION

saludos

ms, 15-3-2006

nataliadurante · Mensaje por **nataliadurante** » 20 Mar 2006, 14:24

Gracias por su respuesta

A pesar de haber hecho lo que me recomendaron sigo con el mismo problema.....

nataliadurante · Mensaje por **nataliadurante** » 20 Mar 2006, 14:30

Me pide muestra de C:\WinLogon\NNAPI16.dll

Mensaje por **msc hotline sat** » 20 Mar 2006, 14:46

Supongo que le pide~~[b]~~[i] ENVIAR [/i][/b] muestra. Pues envienosla y posteenos el contenido de C:\Infosat.txt para que veamos el resultado del testeo, gracias

saludos

ms, 20-3-2006

PD Sin duda debe ser un malware que va cambiando de nombre en cada reinicio, pues en el HJT no aparecia con este nombre. Por esto copnviene ver que ha hecho con ell el ELISTARA. aparte de copiarla en C:\winlogon con otra extension. ms.

nataliadurante · Mensaje por **nataliadurante** » 20 Mar 2006, 16:26

Cuando ejecuto el EliStar me dice que necesita una muesta del archivo en cuestion se queda siempre colgado y tengo que cerrarla por medio del Administrador de Tareas cada vez que la ejecute.

Gracias

Mensaje por **msc hotline sat** » 20 Mar 2006, 16:49

eNVIANOS LA MUESTRA QUE SE TE PIDE Y LA PODREMOS ANALIZAR ...

saludos

ms, 20-3-2006

nataliadurante · Mensaje por **nataliadurante** » 20 Mar 2006, 16:58

Disculpen las molestias pero no se como enviarles la muestra en cuestión.

Gracias

Natalia

Mensaje por **msc hotline sat** » 21 Mar 2006, 07:23

Anexalo a un mail y envialo a la direccion indicada...

saludos

ms, 21-3-2006

nataliadurante · Mensaje por **nataliadurante** » 21 Mar 2006, 13:29

La carpeta de WinLogon esta completamente vacia y me sigue diciendo que necesita una muestra de c:\WinLogon\NNAPI16.dll

Mensaje por **msc hotline sat** » 21 Mar 2006, 14:04

Vielve a lanzar un HJT y mira en el grupo 020 el fichero que te indica, seguramente es diferente si cambia en cada reinicio. Mira de ver donde está y lo mueves a c:\winlogon\ si puedes, para asi luego enviarnosla.

La que puedas mover no se cambiara el nombre, en cambio la original posiblemente si.

Miralo y posteanos el log de dicho HJT para que veamos si ha cambiado de nombrfe

saludos

ms, 21-3-2006

~~[b]~~NOTA: Y RECUERDA [/b]

https://foros.zonavirus.com/viewtopic.php?t=1307

nataliadurante · Mensaje por **nataliadurante** » 21 Mar 2006, 16:05

el archivo se encuentra en C:\Windows\System32 pero no me deja ni copiarlo, ni cambiarle el nombre, ni pegarlo ni adjuntarlo a un mail para poder enviarselos.

Mensaje por **msc hotline sat** » 21 Mar 2006, 17:01

Entonces ya lo tienes !

Arranca con un CD de instalacion y pulsa R para entrar en consola de recuperacion.

Tras ello podras copiar dicho fichero a un disquete escribirndo:

COPY C:\WINDOWS\SYSTEM32\NNAPI16.dll A:

y nos lo envias, para mayor rapidez zomavirus@satinfo.es anexado a un mail en cuyo texto nos indiqyes como referencia REF NNAPI16 y tras recibirlo, implementaremos si control y eliminacion en la siguiente version del ELISTARA

saludos

ms, 21-3-2006

nataliadurante · Mensaje por **nataliadurante** » 21 Mar 2006, 18:16

Cuando quise hacer lo que me indicaste cuando lo busque no estaba, entonces inicié nuevamente windows y efectivamente el archivo se habia cambiado de nombre a KT26L7FS1.DLL pero cuando volvi a reiniciar para iniciar desde el cd otra vez volvio a desaparecer. Finalmente ahora no lo encuentro porque no me sale en EliStarA ninguna muestra ni tampoco en me sale nada en el grupo 20 del HJT.

Mensaje por **msc hotline sat** » 21 Mar 2006, 18:25

Pues tras los cambios que va haciendo habrñá quedado "tocado" y el ELISTARA ha logrado cargarselo.

En el C:\infosat.txt habrá quedado reflejado

De todas formas, muerto el perro, se acabí la rabia... :lol:

Dinos si con ello ya ha quedado solucionado el problema, para proceder a cerrar el tema

saludos

ms, 21-3-2006

nataliadurante · Mensaje por **nataliadurante** » 21 Mar 2006, 18:49

hasta el momento no me han aparecido mas ventanas molestas ni cosas raras.

Les agradezco infinitamente.

Saludos, y nuevamente gracias!!!!

Mensaje por **msc hotline sat** » 21 Mar 2006, 19:16

Pues lo celebramos, y solucionado el problema, procedemos a cerrar el Tema

saludos

ms, 21-3-2006

Necesito ayuda por favor!!! * (SOLUCIONADO)

Necesito ayuda por favor!!! * (SOLUCIONADO)

Sigo con el problema

Sigo con el problema

Pero hay un inconveniente...

consulta

El problema es:

No puedo copiarlo ni pegarlo ni adjuntarlo a un mail

Desaparecio el archivo

Sin ventanas molestas