no puedo pasar ni el antivirus ni el antispyware

nuel · Mensaje por **nuel** » 04 Jun 2006, 12:48

Tengo un spyware y no me deja pasar el antispyware y antivirus, se me queda el ordenador piyao.Ayuda x favor

novatillo · Mensaje por **novatillo** » 04 Jun 2006, 12:50

Has probado pasarlo arrancando en modo seguro :?: :?:

nuel · Mensaje por **nuel** » 04 Jun 2006, 15:46

que va...he probado a pasar tanto el antivirus como el spyware en modo seguro y derrepente desaparece de la pantalla y de la lista de procesos como si hubiese volao.dime que puedo hacer..xfavor

nuel · Mensaje por **nuel** » 04 Jun 2006, 17:11

Logfile of HijackThis v1.99.1

Scan saved at 16:58:55, on 04/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\HP\hpcoretech\comp\hptskmgr.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\eDonkey2000\edonkey2000.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Documents and Settings\A\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 8

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [sound64] zxc.exe

O4 - HKLM\..\Run: [stuffmon] driver64.exe

O4 - HKLM\..\Run: [TorontoMail] runload32.exe

O4 - HKLM\..\Run: [xwiz] DCC_send.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Uint32] backorif.exe

O4 - HKCU\..\Run: [borlandg] progmen.exe

O4 - HKCU\..\Run: [iesetupdll] teqq32.exe

O4 - HKCU\..\Run: [KillAndClean] "C:\Archivos de programa\KillAndClean\KillAndClean.exe"

O4 - HKCU\..\Run: [StartCpl] runload32.exe

O4 - HKCU\..\Run: [scanSYS] sysmon12.exe

O4 - HKCU\..\Run: [MsNetHelper] bnui.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117123069709

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{637A99BA-0D14-4029-AFF7-E5D627213349}: NameServer = 85.255.115.91,85.255.112.6

O17 - HKLM\System\CS2\Services\Tcpip\..\{637A99BA-0D14-4029-AFF7-E5D627213349}: NameServer = 85.255.115.91,85.255.112.6

O17 - HKLM\System\CS3\Services\Tcpip\..\{637A99BA-0D14-4029-AFF7-E5D627213349}: NameServer = 85.255.115.91,85.255.112.6

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

Mensaje por **msc hotline sat** » 04 Jun 2006, 20:07

Lo primero que has de hacer es corregir los servidores de DNS que tuienes configurados:

@: BAD DNS SERVERS: 85.255.115.91 UA Ukraine 07 Kharkivs\'ka Oblast\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

and 85.255.112.6 UA Ukraine 07 Kharkivs\'ka Oblast\' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

Seguro que tu ISP no te aconseja usar estos de Ukraina clasificados como malwares

Pregunta cuales te aconsejan y tras eliminar dos de las tres claves del grupo 017, prueba si quieres la utilidad CONFGDNS.EXE:

CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp

Tras ello podremos eliminar los troyanos que tienes, pero antes resulta absurdo dado que, cuando vuelvas a pasar por ellos. pueden volverte a endosar lo que quieran

Mientras envianos estos ficheros sospechosos y los analizaremos para, en su caso, implementar su control en nuestras utilidades y simplemente luego, con ellas, eliminar los que proceda:

zxc.exe

driver64.exe

runload32.exe

DCC_send.exe

backorif.exe

progmen.exe

teqq32.exe

C:\Archivos de programa\KillAndClean\KillAndClean.exe

sysmon12.exe

bnui.exe

empaquetalos en un ZIP con password VIRUS y lo anexas a un mail dirigido a zonavirus@satinfo.es en cuyo tema indiques referencia "REF UKR" y los analizaremos y obraremos en consecuencia, de lo cual informaremos

saludos

ms, 4-6-2006

nuel · Mensaje por **nuel** » 04 Jun 2006, 20:52

como averiguo las dns ke son correctas y si es preguntando a las isp como se hace??que ficheros son los que quereis que os envie?

Mensaje por **msc hotline sat** » 04 Jun 2006, 20:54

Visto que casi todos corresponden a variantes del WAREOUT:

zxc.exe wareout trojan http://startup.networktechs.com/srch-zxc.exe.html

driver64.exe wareout trojan http://www.tasklist.org/task_driver64_exe_9808.html

runload32.exe wareout trojan http://www.spyany.com/files/runload32_exe.html

DCC_send.exe wareout trojan http://www.tasklist.org/task_DCC_send_exe_9803.html

backorif.exe wareout trojan http://www.trucoswindows.net/s-procesos/listaprocesos-210-2-0-0-70.html

progmen.exe wareout trojan http://www.tasklist.org/task_progmen_exe_9853.html

teqq32.exe wareout trojan http://startup.networktechs.com/srch-teqq32.exe.html

C:\Archivos de programa\KillAndClean\KillAndClean.exe ???

sysmon12.exe wareout trojan http://startup.networktechs.com/srch-sysmon12.exe.html

bnui.exe wareout trojan http://www.tasklist.org/task_bnui_exe_9791.html

Descarga el ELISTARA, y pruebalo, a ver si son de las variantes conocidas:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

y nos comentas el resultado, gracias

saludos

ms, 4-6-2006

nuel · Mensaje por **nuel** » 04 Jun 2006, 20:55

la pregunta de que ficheros os envio sobra porque no habia terminado de leer el mensaje..

Mensaje por **msc hotline sat** » 04 Jun 2006, 21:05

Pero igual no hace falta si el ELISTARA ya los conoce...

Pero recuerda lo de los servidores de DNS !!!

(Ahora estas en sus manos !)

Veras como tambien te lo diremos con el ELISTARA

saludos

ms, 4-6-2006

nuel · Mensaje por **nuel** » 04 Jun 2006, 21:05

tanto el elistara, como el antivirus como unos cuantos de antispyware se vuelan de la pantalla cuando estan analizando.derrepente la pantalla del proceso desaparece.probare otra vez haber si hay mas suerte pero vamos que ya lo he hecho unas cuantas

nuel · Mensaje por **nuel** » 04 Jun 2006, 21:12

lo acabo de volver a hacer y en cuanto he vuelto la vista ya a desaparecido..

Mensaje por **msc hotline sat** » 04 Jun 2006, 21:26

Arranca en modo seguro y lanza el ELISTARA

https://foros.zonavirus.com/viewtopic.php?t=5266

y sobre los servidores DNS, parece que tu ISP es Telefonica, consultales`

saludos

ms, 4-6-2006

nuel · Mensaje por **nuel** » 04 Jun 2006, 22:10

el elistara en modo seguro desaparece igual que antes. sobre los servidores DNS estoy intentando averiguar cuales son los de mi compañia(telefonica). una vez que los sepa q debo hacer con ellos?? como se configuran ?? gracias.

nuel · Mensaje por **nuel** » 04 Jun 2006, 23:00

he cambiado las dns y reiniciado en modo seguro.luego he lanzado el elistara y ya no me ha dicho nada de las dns pero si que le envie el archivo DMDMJ.EXE el cual no encuentro y al realizar el analisis como siempre ha volado la pantalla. Luego he lanzado el analisis del antivirus y tambien ha volado la pantalla mientras estaba en proceso....ya no se que mas hacer

Mensaje por **msc hotline sat** » 05 Jun 2006, 06:14

Si en modo seguro te pasa esto, puede que te falten ficheros de sistema o los tengas degradados- Repara eL SISTEMA:

Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate

Y la configuracion de los servidores de DNS, comporueba con el HJT que en las 017 no te indique los de Ukraina, ya que dices que ves configurados los de Telefonica...

saludos

ms, 5-6-2006