Problemas con ventanitas y barras msn

[perezoso]

Me podeis echar una mano?



Cada vez que le doy al explorer me sale una ventanita incómoda. De todo tipo: bancos, casinos, contactos...



Le he pasado spybot. ad-aware... y nada



Y por otro lado tengo dos barras una search en gris plateado arriba y otra azul con casinos viajes... (creo que ambas son de messenger) las quito pero vuelven a aparecer.





Gracias por todo

[msc hotline sat]

oIE SU GUERA CULPA DEL MENSAJERO DEL MESSENGER, LANZA ESTA UTILIDAD DE GIBSON:



http://grc.com/files/shootthemessenger.exe



Tras ello mira si persisten los probelmas, y si es asi, indicanos cuales y posteanos log del HJT segun indicamos:





[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



y lo analizarianos en tal caso...



saludos



ms, 12-4-2006

[perezoso]

Tras ejecutar el grc.com/files... ponía messenger service is safely disabled y todo seguía igual.

Hice lo que dijisteis del hitjack y salió esto.



Nota: el primer mail lo envié desde un ordenador que estaba bien, ahora estoy en el infectado.



Por cierto no uso el messenger asi que puedo quitar todo lo que aparezca como tal.



Gracias de nuevo.



Logfile of HijackThis v1.99.1

Scan saved at 18:28:33, on 12/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\ZOOM\Zoom Wireless-G USB\PRISMSVR.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\ZOOM\Zoom Wireless-G USB\ZMWGUI.exe

C:\ARCHIV~1\MICROS~3\rapimgr.exe

C:\ARCHIV~1\MICROS~2\Office10\OUTLOOK.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\DOCUME~1\Usuario\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hmprqyjmmpyccjfdmdzmn.com/3lp9co6_YWyEqVvRL/mJBmtsOwz3abBvSvuM9B8GgdzMRa2pqj7l5o0W2fE0T8EK.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {01EE8A0A-57B6-907B-3997-D88F2262D015} - C:\DOCUME~1\Usuario\DATOSD~1\BOOKTR~1\webdate.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {110013D3-0E12-F586-4456-13503A017963} - C:\DOCUME~1\Usuario\DATOSD~1\BOOKTR~1\webdate.exe

O2 - BHO: (no name) - {4AC3E675-93CC-F1DE-126F-08B6FED4E1AF} - C:\DOCUME~1\Usuario\DATOSD~1\BOOKTR~1\holdokay.exe (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Archivos de programa\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [team ace settings barb] C:\Documents and Settings\All Users\Datos de programa\ANTE HTM TEAM ACE\Htminternet.exe

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Archivos de programa\ZOOM\Zoom Wireless-G USB\PRISMSVR.EXE" /APPLY

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [License Corn] C:\DOCUME~1\Usuario\DATOSD~1\AXISAM~1\Close Dead.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Desktop Manager.lnk = C:\Archivos de programa\Research In Motion\BlackBerry\DesktopMgr.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Zoom Wireless-G USB Utility.lnk = C:\Archivos de programa\ZOOM\Zoom Wireless-G USB\ZMWGUI.exe

O8 - Extra context menu item: Adición a la lista de impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Impresión a alta velocidad de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Impresión de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Vista previa de Easy-WebPrint - res://C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~3\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{466AA2D5-CFDA-4398-8382-0882E1E2F9AF}: NameServer = 80.58.0.33,80.58.32.97

O20 - AppInit_DLLs: MsgPlusLoader.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

[msc hotline sat]

Arranca en modo seguro, lanza el HJT, marca estas claves y eliminalas con FIX:



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hmprqyjmmpyccjfdmdzmn.com/3lp9co6_YWyEqVvRL/mJBmtsOwz3abBvSvuM9B8Ggdz MRa2pqj7l5o0W2fE0T8EK.html



O2 - BHO: (no name) - {4AC3E675-93CC-F1DE-126F-08B6FED4E1AF} - C:\DOCUME~1\Usuario\DATOSD~1\BOOKTR~1\holdokay.exe (file missing)





y envianos este fichero:



C:\DOCUME~1\Usuario\DATOSD~1\BOOKTR~1\webdate.exe



Ya que es muy sospechoso que se cargue en dos claves BHO (al lanzarr el I,E).Envianoslo anexado a un mail con referencia "REF WEBDATE" y lo analizaremos e informaremos





Tras ello, reinicia y nos comentas el resultado, gracias



saludos



ms, 12-4-2006

[perezoso]

Me he liado, no me he enterado.



Modo seguro? como?



luego ejecuto el hitjack y elimino lo que me decis.



y luego como envio eso?



perdon por mi desconocimiento.



Un saludo

[msc hotline sat]

Para arrancar en modo seguro:



https://foros.zonavirus.com/viewtopic.php?t=5266





Y para el envio, deciamos:


[quote]...Ya que es muy sospechoso que se cargue en dos claves BHO (al lanzarr el I,E).Envianoslo anexado a un mail con referencia "REF WEBDATE" y lo analizaremos e informaremos
[/quote]

saludos



ms, 12-4-2006

[perezoso]

No he conseguido nada

He abierto en modo seguro he pasado el hitjack

ahora salía otra direccion diferente de la de hgfddddd... pero la he seleccionado porque era igual de rara y salian 3 diferentes de no name y tb las he seleccionado.



Pero al volver a modo normal e iniciar sigue todo igual al dar al explorer salen las barras de de antes y salta una ventanita de un banco o algo así.



No se como decís que os envie eso.

Podeis explicarmelo paso a paso?



Gracias

[msc hotline sat]

El fichero WEBDATE.EXE lo anexas a un mail dirigido a zonavirus@satinfo.es en cuyo texto indiques como referencia "REF WEBDATE" y lo analizaremos e informaremos, pues tiene numeros de ser el culpable, pero desconocido, y se cargar desde dos claves, lo cual hacen algunos virus para asegurarse...



Pero si es algo que conoces, dinoslo y ahorrate el envio !



saludos



ms, 13-4-2006