me entró un trojano por el messenger (SOLUCIONADO)

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 02:01

Buenas noches, mi problema es el siguiente:

Un amigo me habla por el messenger. Aparece un mensaje automático en portugués sobre un niño desaparecido y me envía una foto. La acepto e inmediatamente kaspersk me dice que es un trojano y que si deseo eliminarlo. Obviamente no abro el archivo y elimino el trojano. Al rato se me abren varias ventanas de envío de informes de error de un montón de procesos que desconozco. La pantalla se pone azul y se reinicia e ordenador. Una vez reiniciado le vuelve a pasar lo mismo y reinicio en modo seguro. Examino con kaspersky y me pide contraseña para un archivo extraño en cuya ruta pone algo de spyware, además la ruta no corresponde con la realidad. Lo ingnoro y no me encuentra nada. Examino con antispyware y no encuentra nada, con ad-aware tampoco. Me descargo sin espias y no encuentra nada, spybot tampoco. El antivirus avira me encuentra un trojano de nombre TR/Dldr.Banload.0.49 que ya está en cuarentena pero sigo teniendo el mismo problema. He leído algo sobre ese trojano y parece ser que no es muy peligroso. El spyware doctor me encuentra 170 archivos malignos que son eliminados pero el problema persiste. Intento instalar el bitdefender pero no puedo instalarlo en el modo seguro. Ahora esto con un tal AVK que está a punto de acabar sin descubrir nada. Ya no sé que hacer y mi ordenador no dura un minuto sin reiniciarse.

Gracias por la atención, no soy my experto en el tema por lo que es probable que el texto esté plagado de imprecisones io incoherencias.

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 02:48

El antivirus AVK ha finalzado sin encontrar nada.

La ruta del extraño archivo para el que kapersky me pide contraseña es :

C:\Documents and Settings\........\Configuración local\Archivos Temporales de Internet\Content.IE5\6R99HUNU\spyware[1].bin\compressor_tempRMN8oY

Gracias de antemano.

Mensaje por **flacoroo** » 30 May 2006, 03:28

ok para empezar desde otra maquina bajate desde la pagina principal el Elistara, el buscareg y Elitriip, despues enciendes en modo seguro tu compu, borras todos tus archivos temporales, despues ejecutas uno por uno los programitas ya mencionados, checas de nuevo si elimino los troyanos, si no te lo pedira que lo mandes a una direccion para hacer otra version y eliminarlo, con el buscareg trata de introducir solo el nombre del archivo qure dices que no se borra para saber la ruta actual...y si lo puedes elimar con el buscareg mejor....

nso dices como te fue....

aun asi no se te olvide estar actualizado con todos los parches disponibles para windows e IE

viendo otros problemas parecidos...te dejo un link para que te bajes el programita y lo ejecutas en modo seguro....

https://foros.zonavirus.com/viewtopic.php?t=11937&highlight=jesse

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 11:04

Gracias por la ayuda andes de nada.

¿Cuándo me pides queborre todos los archivos temporales, te refieres a que envíe a la papelera de reciclaje todo el contenio de c:windows/temp?

Y, ¿en el buscareg meto la ruta que te comenté que tenía que ignorar con el kaspersky?

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 11:30

Buscareg no encuentra la ruta

Elistara encuentra tres ficheros infectados :

EG.DAT ->DownLoader

KLG.DAT ->DownLoader

SWPG.DAT ->DownLoader

Voy a pasar el elitriip y os cuento.

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 11:53

Elitriip no encuetra nada.

Esto va de mal e peor.

He reiniciado en modo normal y no me carga nada. Aparece mi imagen de fondo de escritorio y el puntero del ratón y eso es todo. Ni iconos, ni barra de tareas, ni administrador de tareas ni nada.

Si nadie me propone una solución pronto voy a formatear, ante lo cual se me plantean varias dudas: ¿puedo grabar un cd de datos desde la unidad de prueba? Si es posible, puede infectarse dicho cd (o un usb) con el trojano. De ser así ¿qué debo hacer para salvar algo con seguridad? Espero salvar al menos las fotos y los trabajos.

Gracias.

Mensaje por **msc hotline sat** » 30 May 2006, 12:28

Prueba de arrancar en modo seguro, y nos comentas si asi accedes. En tal caso lanza un HJT y luego nos lo posteas:

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Y lo analizaremos e indicaremos claves a eliminar o restaurar

saludos

ms, 30.5.2006

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 12:42

Gracias por la ayuda, este es resultado:

Logfile of HijackThis v1.99.1

Scan saved at 12:40:08, on 30/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.732\HijackThis.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.219\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [AVKTray] "C:\Archivos de programa\AntiVirenKit 2006 trial\AVKTray\AVKTray.exe"

O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\ARCHIV~1\INSTAL~1\{B9D10~1\setup.exe -rebootC:\ARCHIV~1\INSTAL~1\{B9D10~1\reboot.ini -l0x7

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - http://friendsinrennes.myphotoalbum.com/EasyUploadTool.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVKProxy - G DATA Software AG - C:\Archivos de programa\Archivos comunes\G DATA\AVKProxy\AVKProxy.exe

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Archivos de programa\AntiVirenKit 2006 trial\AVKService.exe

O23 - Service: Supervisión de AVK (AVKWCtl) - Unknown owner - C:\Archivos de programa\AntiVirenKit 2006 trial\AVKWCtl.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: IDispChg Service (IDispChgService) - Unknown owner - C:\WINDOWS\system32\IDispChg.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

Mensaje por **maura63** » 30 May 2006, 12:56

O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\ARCHIV~1\INSTAL~1\{B9D10~1\setup.exe -rebootC:\ARCHIV~1\INSTAL~1\{B9D10~1\reboot.ini -l0x7

:?: :?: :?:

Elimina con FIX esta

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

Saludos

maura63

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 13:18

Ya está eliminado, ¿y ahora?

y qué pasa con esto:

O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\ARCHIV~1\INSTAL~1\{B9D10~1\setup.exe -rebootC:\ARCHIV~1\INSTAL~1\{B9D10~1\reboot.ini -l0x7

GRACIAS

Mensaje por **maura63** » 30 May 2006, 13:32

Esa clave....

Estabas instalando algo en el PC al tiempo que lanzastes el hijackthis????

Saludos

maura63

Mensaje por **msc hotline sat** » 30 May 2006, 13:34

Tienes residentes dos antivirus !!!

El Kaspersky especialmente no debes tenerlo con ningun otro, ademas de que no debe de haber mas que uno.

Desinstala el que no quieras.

saludos

ms, 30-5-2006

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 13:55

Creo que ahora mi único antivirus residente es kaspersky y lo puse a scanear otra vez. Además volví a ejecutar el hijackthis asegurándome de no hacer nada al mismo tiempo. El resultado es el siguiente:

Logfile of HijackThis v1.99.1

Scan saved at 13:48:55, on 30/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.653\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\ARCHIV~1\INSTAL~1\{B9D10~1\setup.exe -rebootC:\ARCHIV~1\INSTAL~1\{B9D10~1\reboot.ini -l0x7

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - http://friendsinrennes.myphotoalbum.com/EasyUploadTool.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: IDispChg Service (IDispChgService) - Unknown owner - C:\WINDOWS\system32\IDispChg.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

Mensaje por **msc hotline sat** » 30 May 2006, 15:01

Tienes un servicio de Panda que no sé si lo sabes:

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

en cualquier caso va a ralentizar el ordenador, y puestos a comentar, la ultima clave es del Spyware Doctor que se caracteriza por ralentizar los procesos, pero...

Tras lo que decidas, reinicia y dinos si persiste algun problema o podemos dar por solucionado el Tema

saludos

ms, 30-5-2006

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 15:33

los elimino con el fix?

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 16:01

Persiste el problema, se reinicia solo.

Siento ser un pesado pero esta situación es frustrante.

Mensaje por **msc hotline sat** » 30 May 2006, 16:48

Arranca en modo seguro y lanza el HJT y salva el log, luego en modo normal lo posteas, a ver si hay algun Rootkit que se esconde en modo normal

saludos

ms, 30-5-2006

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 17:02

Qué es el log y cómo se salva (y se postea)?

Lo siento pero soy un poco ñu en esto.

Mensaje por **msc hotline sat** » 30 May 2006, 17:22

Ya lo hiciste al princiìo de este Tema, revisalo, y ademas tambien indicabamos la forma de hacerlo...

[quote="msc"]msc hotline sat Publicado: Mar May 30, 2006 12:28 pm Asunto:

--------------------------------------------------------------------------------

Prueba de arrancar en modo seguro, y nos comentas si asi accedes. En tal caso lanza un HJT y luego nos lo posteas:

¿Como utilizar el Hijackthis ?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· Descargar Hijackthis

Y lo analizaremos e indicaremos claves a eliminar o restaurar

saludos

ms, 30.5.2006
[/quote]

repita lo que ya hizo, pero arrancando en modo seguro y guardando el log, y luego arranca en modo normal y nos lo postea.

saludos

ms, 30-5-2006

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 17:27

Perdona, había leído mal

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 17:30

pero en modo normal no me da tiempo a entrar e internet, se reinicia en cuestion de segundos.

Lo voy a intentar de todas formas.

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 17:49

Efectvamente no puedo trbajar en modo normal, no llego ni a abrir el explorer.

De todas formas, lo de lanzar el hijakthis e modo seguro es lo que hice antes, sólo que os lo posteo desde otro equipo.

gracias por la paciencia

Mensaje por **msc hotline sat** » 30 May 2006, 17:54

Esperaba que tras eliminar las claves podrías arrancar...

Pues posteanos nuevo log otra vez en modo seguro, para ver lo actual

saludos

ms, 30-5-2006

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 18:02

Voilà! el resultado:

lo de panda y spyware doctor los eliminé antes con el fix pero siguen apareciendo. Eso es normal?

Logfile of HijackThis v1.99.1

Scan saved at 17:57:47, on 30/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.621\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O4 - HKCU\..\RunOnce: [Alcohol 4.03.5.3823 Setup] "C:\Documents and Settings\Administrador\Escritorio\alcohol120_trial_1_9_5_3823.exe"

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - http://friendsinrennes.myphotoalbum.com/EasyUploadTool.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: IDispChg Service (IDispChgService) - Unknown owner - C:\WINDOWS\system32\IDispChg.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

Mensaje por **msc hotline sat** » 30 May 2006, 18:13

No, mientras reviso el log. mora si arrancando en modo seguro los puedes eliminar con el HJT de nuevo

en proceso ...

Mensaje por **maura63** » 30 May 2006, 18:17

Este servicio

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

:?: :?:

Saludos

maura63

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 18:23

para eliminarlos tengo que selecconarlos y pinchar en checked fix?

de ser así ya lo he hecho varias veces y cuando vuelvo a pasar el hijacked siguen ahí.

El servicio de france telecom: estoy en francia estudiando este año

Mensaje por **msc hotline sat** » 30 May 2006, 18:48

A mi entender a mas de sospechosas;

Estas aplicaciones son sospechosas:

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - http://friendsinrennes.myphotoalbum.com/EasyUploadTool.cab

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: IDispChg Service (IDispChgService) - Unknown owner - C:\WINDOWS\system32\IDispChg.exe

mira si las conoces, y sino, en modo seguiro les das FIX, y tras reiniciar mira si pesisten

Si es el caso mira si figuran en Panel de Control -> AGREGAR o Quitar Programas, y si es asi, las desinstalas

y cientanos el resultado...

saludos

ms, 30-5-2006

SirDonGato · Mensaje por **SirDonGato** » 30 May 2006, 19:18

Mi conexión a inernet es de france telecom, por lo tanto no estoy muy seguro de que pueda borrar esto:

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

pero como no tengo ni la más remota idea de que es todo lo que estoy haciendo igual puedo borrarlo también. Además si sólo es algo de la configuración de internet, podría instalarlo luego porque tengo todo lo que hace falta.

Mensaje por **msc hotline sat** » 30 May 2006, 19:24

Hay quien dice que es un spyware...

[quote]28.04.2006 - Spyware de france telecom !!![/quote]

pero so te consta que no, dejalo estar.

Tambien puedes dejarla en ultimo lugar, y si no hay mas remedio...

saludos

ms, 3'-5-2006