mshtml.exe norton detecto troyano y no elimina (SOLUCIONADO)

Nani · Mensaje por **Nani** » 15 May 2006, 15:47

Hola, escribo porque ya no se que hacer, no se mucho de estas cosas y pienso que puede ser grave.

El norton me detecto un virus y un troyano, el virus parece (parece) que lo pudo quitar, pero el troyano me pide eliminarlo de otro modo, me dice que inicie ne modo a prueba de fallos y desde alli ejecute el norton, sin embargo, este no funciona en el modo a prueba de fallos, tarda muchisimo en abrir y cuando parece que por fin funciona, aparece un cartelito diciendo que se ha detectado un error y debe cerrarse, con su correspondiente opcion de enviar el informe de errores... obviamente no hay internet en modo a prueba de fallos, asi que no se puede...

el archivo es este segun el norton

mshtml.exe

antes de nada, le habia dado a buscar, me encontro dos archivos con este nombre, uno logre eliminarlo mmanualmente, pero no me dejo hacer lo mismo con el otro, si me podeis ayudar, lo agradeceria mucho

Gracias de ante mano

EDITO: Ah y ademas el norton esta por expirarme (no tengo dinero para comprar el otro) el 1 de junio y no me deja realizar las actualizaciones

Mensaje por **maura63** » 15 May 2006, 16:00

Usa este por si no tienes al dia las deficiniciones de virus.

size=16]~~[b]~~Antivirus GRATIS:[/b][/size]

[color=darkblue]~~[b]~~· Grisoft (AVG)[/b][/color]

Antivirus gratis, solo para uso particular, solo tendras que entrar un pequeño formulario tu nombre, apellido y correo donde inmediatamente se te enviara el número de serie necesario para el registro del programa

[url=http://www.zonavirus.com/datos/descargas/14/AVG_Free_Edition.asp]~~[b]~~Descargar AVG gratis[/b][/url]

tutorial AVG:

http://www.ayuda-internet.net/tutoriales/manu-avg/manu-avg.html

Informacion del troyano

http://www.symantec.com/avcenter/venc/data/backdoor.irc.rpcbot.g.html

Prueba tambien de pasar antivirus online.

Saludos

maura63

Mensaje por **msc hotline sat** » 15 May 2006, 16:01

Empiezo por el final: Mientras no puedas adquirir la licencia de programas antivirus, usa versiones freeware como el AVG para particulares:

]~~[b]~~Antivirus GRATIS:[/b][/size]

[color=darkblue]~~[b]~~· Grisoft (AVG)[/b][/color]

Antivirus gratis, solo para uso particular, solo tendras que entrar un pequeño formulario tu nombre, apellido y correo donde inmediatamente se te enviara el número de serie necesario para el registro del programa

[url=http://www.zonavirus.com/datos/descargas/14/AVG_Free_Edition.asp]~~[b]~~Descargar AVG gratis[/b][/url]

tutorial AVG:

http://www.ayuda-internet.net/tutoriales/manu-avg/manu-avg.html

Y sobre la libreria MSHTML.DLL es originalmente la del visualizador de HTNL del Internet explorer, pero claro que puede ser sobreescrita, alterada, o copiada paralelamente en otra carpetas cualquier virus o troyano con el mismo nombre, pòr lo que debe analizarse especialmente si Norton indica detectar troyano dentro.

Envienos dicho fichero a zonavirus@satinfo.es anexada a un mail en cuyo texto indique referencia REF MSHTML y tras analizarlo incluiremos su control y eliminacion , si procede , en nuestras utilidades, de lo cual informaremos

saludos

ms, 15-5-2006

Nani · Mensaje por **Nani** » 15 May 2006, 17:31

Primero que nada, gracias por responder, y mas tan rapido!... bueno,he bajado el programa, aunque por la direccion directa de la pagina, pues aparecia este mensaje cuando intentaba descargarlo desde vuestro link:

[i]The system cannot find the file specified.[/i]

No me ha pedido ningun dato ni el e-mail para mandarme el numero de serie y no todo ha sido exactamente como en el manual, pero aun asi lo baje, lo actualice, y lo estoy tilizando.

Me ha detectado un troyano (supongo que el nombre es el que aparece debajo de la direccion donde se encuentra), el ~~[b]~~Trojan Horse Dropper Agent.APW[/b] y no me ha dejado tocarlo, le ha denegado el acceso.

El programa dice que tengo 4 objetos infectados (y sigue aumentando), he limpiado unos, pero algunos archivos me siguen apareciendo en alerta (en rojo) y al final ya no se que es lo que tengo limpio y que no ni como podria controlarlo.

Si esto no me soluciona el problema, probare con alguno online, supongo, pero creo que tengo mas problemas de los que pensaba...

Con respecto a enviaros el fichero que me pedis, si me decis como hacerlo (no se como encontrarlo, adjuntarlo, etc :oops:) tambien seria de mucha ayuda...

Gracias otra vez

Mensaje por **maura63** » 15 May 2006, 17:36

Pincha en inicio/buscar/archivos o carpetas , introduce MSHTML.DLL y a buscar.

Busca el fichero en cuestion, copialo a un diskette y lo comprimes con el zip, envialo a la direccion indicada.

En cuanto al antivirus, pasalo arrancando en modo seguro.

Saludos

maura63

Nani · Mensaje por **Nani** » 15 May 2006, 21:47

Gracias por explicarmecomo enviar el fichero, en cuanto pueda lo hare, por cierto, me gustaria saber si es o no recomendable utilizar mis cuentas de hotmail, yahoo, etc cuando estoy infectada o no es para nada recomendable...? Bueno, gracias otra vez...

Con respecto al tema, no ha habido manera, he pasado el AVG en modo seguro y no funciona tampoco, no los elimina. He intentado con el kaspersky y este me ha detectado cerca de 50 infecciones sin poder borrar ninguna... el AVG me dice a cada rato que hay una infeccion de troyano, aveces me deja eliminarla y aveces no, el norton no para tampoco de dar advertencias pero no elimina nada... algun consejo???

Gracias

EDITO:

coloco un log del HijackThis por si lo solicitan:

Logfile of HijackThis v1.99.1

Scan saved at 3:15:54, on 28/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\phpdev5\apache\Apache.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\WINDOWS\System32\gearsec.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\phpdev5\apache\Apache.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\hphmon05.exe

C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\system32\rundll32.exe

C:\ARCHIV~1\HPPAVI~1\Pavilion\XPHWWBS4\plugin\bin\pchbutton.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe

C:\HJT\HijackThis[www.trucoswindows.net].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Archivos de programa\GetRight\xx2gr.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [UpdateManager] "c:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [Acme.PCHButton] C:\ARCHIV~1\HPPAVI~1\Pavilion\XPHWWBS4\plugin\bin\pchbutton.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SurfSecret] C:\Archivos de programa\SurfSecret\SS2-TRIAL.exe /min

O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = Office\OSA9.EXE

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101748000953

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{07E09D07-CF5F-4078-AABC-20538F13E00F}: NameServer = 80.58.32.97,80.58.0.33

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CC1A993-0584-47C6-8A91-E08368238990}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{07E09D07-CF5F-4078-AABC-20538F13E00F}: NameServer = 80.58.32.97,80.58.0.33

O17 - HKLM\System\CS3\Services\Tcpip\..\{07E09D07-CF5F-4078-AABC-20538F13E00F}: NameServer = 80.58.32.97,80.58.0.33

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: dev5_ap1 - Unknown owner - C:\phpdev5\apache\Apache.exe" --ntservice (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: Servicio de seguridad Gear (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Mensaje por **maura63** » 16 May 2006, 08:26

Elimina estas entradas, las marcas y pulsa en FIX

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Conoces esto, de no ser asi elimina igualmente

O4 - HKCU\..\Run: [SurfSecret] C:\Archivos de programa\SurfSecret\SS2-TRIAL.exe /min

Saludos

maura63

Mensaje por **msc hotline sat** » 16 May 2006, 12:17

... y en cuanto recibamos el o los ficheros sospechosos los analizaremos e implementaremos su eliminacion . si procede, en nuestras utilidades e informaremos al respecto...

saludos

ms, 16-5-2006

Nani · Mensaje por **Nani** » 16 May 2006, 13:01

Este es el nuevo log, para eliminar la entrada

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

me pidio que cerrara la ventana del i-explorer, aunque solo tenia abierta una del firefox, la cerre y lo pude hacer, pero no se si es normal...

de todos modos aqui va el log despues de eliminar lo que me habeis dicho:

Logfile of HijackThis v1.99.1

Scan saved at 12:52:37, on 16/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\phpdev5\apache\Apache.exe

C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\gearsec.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\phpdev5\apache\Apache.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\hphmon05.exe

C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\HPPAVI~1\Pavilion\XPHWWBS4\plugin\bin\pchbutton.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe

C:\HJT\HijackThis[www.trucoswindows.net].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Archivos de programa\GetRight\xx2gr.dll

O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [UpdateManager] "c:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [Acme.PCHButton] C:\ARCHIV~1\HPPAVI~1\Pavilion\XPHWWBS4\plugin\bin\pchbutton.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = Office\OSA9.EXE

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101748000953

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{07E09D07-CF5F-4078-AABC-20538F13E00F}: NameServer = 80.58.32.97,80.58.0.33

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CC1A993-0584-47C6-8A91-E08368238990}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{07E09D07-CF5F-4078-AABC-20538F13E00F}: NameServer = 80.58.32.97,80.58.0.33

O17 - HKLM\System\CS3\Services\Tcpip\..\{07E09D07-CF5F-4078-AABC-20538F13E00F}: NameServer = 80.58.32.97,80.58.0.33

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: winhld32 - C:\WINDOWS\SYSTEM32\winhld32.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: dev5_ap1 - Unknown owner - C:\phpdev5\apache\Apache.exe" --ntservice (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: Servicio de seguridad Gear (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Tambien decir que el archivo en cuesion no os lo he enviado porque mi ordenador no tiene unidad de disquetes, en cuanto pueda, quemare un cd a ver si con eso se puede.

Gracias

Mensaje por **maura63** » 16 May 2006, 13:12

Con la mosca detras de la oreja........

O20 - Winlogon Notify: winhld32 - C:\WINDOWS\SYSTEM32\winhld32.dll

Saludos

maura63

Nani · Mensaje por **Nani** » 16 May 2006, 14:39

debo darle fix a ese archivo, no?

y lo del cd, estoy en ello

Nani · Mensaje por **Nani** » 16 May 2006, 15:01

bueno, el susodicho archivo aparece en la papelera de reciclage y no me deja tocarlo para guardarlo en un cd :cry: , o cuando intento comprimirlo o hacer cualquier cosa me dice que el archivo de origen no existe, nisiquiera me deja restaurarlo, ( o restaurarlos, mejor dicho, ahora aparecen 6 archivos con el nombre MSHTML2.exe ), no he probado a eliminarlos completamente pues no se si es lo que debo hacer o existe otra forma de enviar estos archivos, alguna sugerencia?

Gracias

Mensaje por **msc hotline sat** » 16 May 2006, 15:05

Mas vale que nos envies una muestra del mismo, winhld32.dll, junto con los demas del MSHTML que deciamos anteriormente

Efectivamente es troyano:

C:\WINDOWS\system32\winhld32.dll -> Trojan.Agent.qt

pero no se elimina facilmente borrando la clave...

Prueba con el ELISTARA y si no lo conoce, te pedirá muestra, en tal caso, ya sabes...:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 16-5-2006

Nani · Mensaje por **Nani** » 16 May 2006, 15:59

he intentado descargar el ELISTARA pero me dice lo mismo que con el resto de aplicaciones que intento bajar desde aqui...

[i]The system cannot find the file specified.[/i]

He intentado descargarlo directamente de la web pero me pide un usuario y contraseña

Con respecto a los otros archivos MSFTML2.exe, no hay manera de que salgan de la papelera de reciclage

Mensaje por **msc hotline sat** » 16 May 2006, 16:13

Pues vacia la papelera y olvidate de ellos. si no te incordian mas. aunque me temo que no sea asi...

Y sobre las utilidades, si no puedes por lo que sea desde este equipo, bajalas desde otrp y las pasas a este. Recuerda que has de darte de alta con el mismo password y login del foro

saludos

ms, 16-5-2006

Nani · Mensaje por **Nani** » 16 May 2006, 18:19

Bueno, ya tengo el elistara y lo he pasado, ha borrado varias cosas y para un par de ellas he debido reiniciar, pero parece que las elimino, envio el ultimo registro que guardo:

Tue May 16 18:00:03 2006

EliStartPage v11.69 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Tue May 16 18:06:04 2006

EliStartPage v11.69 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\carolina\Configuración local\Archivos temporales de Internet\Content.IE5\KXU7KXE7\YAHOO_FAMILYFEUD_TM5-3[1].EXE --> AutoExtraible

C:\Documents and Settings\Daniella\Escritorio\SCREAMER038.EXE --> AutoExtraible

C:\Documents and Settings\Daniella\Escritorio\YAHOO_SSBOWLING_TM5-3.EXE --> AutoExtraible

C:\Documents and Settings\Daniella\Escritorio\YAHOO_ZULUGEMS_TM5-3.EXE --> AutoExtraible

C:\Documents and Settings\Daniella\Mis documentos\Screamer Radio\UNINST.EXE --> AutoExtraible

C:\Documents and Settings\Propietario\Configuración local\Archivos temporales de Internet\Content.IE5\VNL3B54S\YAHOO_ZULUGEMS_TM5-3[1].EXE --> AutoExtraible

C:\Documents and Settings\Propietario\Escritorio\YAHOO_OCEANEXPRESS_TM5-3.EXE --> AutoExtraible

C:\Downloads\ZUMAESSETUP.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-727001932-3057833635-1747526032-1003\DC414.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-727001932-3057833635-1747526032-1003\DC416.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-727001932-3057833635-1747526032-1003\DC423.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-727001932-3057833635-1747526032-1003\DC425.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-727001932-3057833635-1747526032-1003\DC426.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-727001932-3057833635-1747526032-1003\DC437.EXE --> AutoExtraible

C:\RECYCLER\S-1-5-21-727001932-3057833635-1747526032-1003\DC443.EXE --> AutoExtraible

C:\WINDOWS\system32\WINHLD32.DLL.VIR.VIR.VIR.VIR --> Eliminado, BackDoor-CVT (notify)

C:\WINDOWS\system32\WRLOGONNTF.DLL.VIR.VIR.VIR.VIR --> Eliminado, SpySweeper (notify)

y este es el del Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 18:26:05, on 16/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\phpdev5\apache\Apache.exe

C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\System32\gearsec.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\phpdev5\apache\Apache.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\hphmon05.exe

C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\HPPAVI~1\Pavilion\XPHWWBS4\plugin\bin\pchbutton.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\GetRight\getright.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Microsoft Office\Office\3082\msoffice.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\HJT\HijackThis[www.trucoswindows.net].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Archivos de programa\GetRight\xx2gr.dll

O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Archivos de programa\Archivos comunes\InterVideo\SchSvr\SchSvr.exe"

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [UpdateManager] "c:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [Acme.PCHButton] C:\ARCHIV~1\HPPAVI~1\Pavilion\XPHWWBS4\plugin\bin\pchbutton.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Archivos de programa\GetRight\getright.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = Office\OSA9.EXE

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.pestpatrol.com/pestscan/pestscan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101748000953

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{07E09D07-CF5F-4078-AABC-20538F13E00F}: NameServer = 80.58.32.97,80.58.0.33

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CC1A993-0584-47C6-8A91-E08368238990}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{07E09D07-CF5F-4078-AABC-20538F13E00F}: NameServer = 80.58.32.97,80.58.0.33

O17 - HKLM\System\CS3\Services\Tcpip\..\{07E09D07-CF5F-4078-AABC-20538F13E00F}: NameServer = 80.58.32.97,80.58.0.33

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: winhld32 - winhld32.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: dev5_ap1 - Unknown owner - C:\phpdev5\apache\Apache.exe" --ntservice (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido anti-malware\ewidoctrl.exe

O23 - Service: Servicio de seguridad Gear (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Mensaje por **msc hotline sat** » 16 May 2006, 19:05

Tienes instalado simultaneamente antivirus AVG y Norton. Deves desinstalar uno de los dos.!

Elimina ademas estas dos claves:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O20 - Winlogon Notify: winhld32 - winhld32.dll (file missing)

Y tras ello reinicias y mira so persiste algun problema, y en su caso nos lo indicas

saludos

ms, 16-5-2006

Nani · Mensaje por **Nani** » 16 May 2006, 20:32

Aparentemente ya todo va bien, no me ha vuelto a saltar el antivirus ni nada :D , muchas gracias por la ayuda y perdonad las molestias, pero no me entiendo mucho con la parte dificil de los PC... :( ... aun asi, supongo que uno tiene que saber de esto a juro si tiene un ordenador...

y hablando de saber... me gustaria saber que pudo esperarme si este bicho no se ha marchado por completo, es decir, los sintomas... y ¿seria seguro estando infectada utilizar el msn o abrir mis correos desde este mismo ordenador?

Gracias otra vez por lo que habeis hecho y si podeis, por la respuesta a mis preguntas.

:D

Mensaje por **msc hotline sat** » 17 May 2006, 08:59

Al no habernos podido enviar muestra de los ficheros indicados, no hemos podido analizarlos para poder informarle de las caracteristicas de las variantes en cuestion, pero como troyanos que eran, no los propagaba y solo le afectaban a Vd.

Asi mismo su adquisicion fue por entrar en determinadas paginas web por descargar y ejecutar voluntariamente ficheros, lo cual puede repetirse si vuelve a hacerlo

y alegrandonos de que hayamos podido eliminar la infeccion, damos por solucionado el Tema y procedemos a cerrarlo

saludos

ms. 17-5-2006