Os pego mi log a ver que encontrais y como solucionarlo.

muchamelena · Mensaje por **muchamelena** » 07 Jun 2006, 00:19

[quote="muchamelena"]Hola amigos os pego mi log a ver si podeis ayudarme y decirme si veis algo raro y como puedo solucionarlo pues me detectó y troyano el The Cleaner en archivos de programa/ MSN APPS después de instalar el messenger 7.5, pasado the cleaner me detectó seis y los eliminó, pero no quedo tranquilo, espero vuestras respuestas. Gracias anticipadas por todo

Logfile of HijackThis v1.99.1

Scan saved at 0:09:56, on 07/06/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\ewido\security suite\ewidoguard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Norman\bin\ZANDA.EXE

C:\Norman\bin\ZLH.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Norman\bin\NJEEVES.EXE

C:\NORMAN\nvc\BIN\NVCSCHED.EXE

C:\NORMAN\nvc\BIN\nvcoas.exe

C:\Norman\Nvc\bin\cclaw.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\The Cleaner\tca.exe

C:\Archivos de programa\The Cleaner\tcm.exe

C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

C:\Archivos de programa\Opera\Opera.exe

C:\Documents and Settings\JOSE\Mis documentos\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe

O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe /waitservice

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [RegDoctor] C:\Archivos de programa\RegDoctor\RegDoctor.exe -Quick

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093860170789

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Espero vuestra ayuda, muchas gracias por todo y perdonad las molestias espero que me expliqueis que debo hacer.

Después tambien me gustaria que dijerais algo sobre esto que me sale en el TCActive del The Cleaner en la parte inferior en una ventana titulada BHO list

"ST"-C:\Archivos de programas\MSN Apps\01.03.0000.1005\en-xu\stmain.dll

Mensaje por **msc hotline sat** » 07 Jun 2006, 11:10

Debe empezar por actualizar los parches. Le faltan todos los del SP2 y posteriores... Lance un windowsupdate !!!

luego arranque en modo seguro, lance el HJT, y marqe la casilla de la izquierda de estas claves y eliminelas con FIX:

O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)

Luego esta aplicacion no la conocemos. Si no la ha instalado voluntariamente, elimine tambien esta clave:

O4 - HKLM\..\Run: [RegDoctor] C:\Archivos de programa\RegDoctor\RegDoctor.exe -Quick

saludos

ms, 7-6-2006

Mensaje por **msc hotline sat** » 07 Jun 2006, 15:15

Y sobre el stmain, lea esto:

http://www.hijackremote.com/RecentSpywareDetail1386.aspx

saludos

ms. 7-6-2006

muchamelena · Mensaje por **muchamelena** » 07 Jun 2006, 16:53

lanzado hijatck nuevamente y eliminado la entrada me queda así, ¿como lo veis?

Logfile of HijackThis v1.99.1

Scan saved at 16:54:45, on 07/06/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\ewido\security suite\ewidoguard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Norman\bin\ZANDA.EXE

C:\Norman\bin\ZLH.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Norman\bin\NJEEVES.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\The Cleaner\tca.exe

C:\Archivos de programa\The Cleaner\tcm.exe

C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

D:\carmen\P2PFire1.3.1d\P2PFire.exe

D:\P2PHazard2Beta02a\P2PHazard2.exe

C:\Archivos de programa\eMule\emule.exe

C:\NORMAN\nvc\BIN\nvcoas.exe

C:\NORMAN\nvc\BIN\NVCSCHED.EXE

C:\Norman\Nvc\bin\cclaw.exe

C:\Archivos de programa\Opera\Opera.exe

C:\Documents and Settings\JOSE\Mis documentos\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll (file missing)

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe

O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe /waitservice

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [RegDoctor] C:\Archivos de programa\RegDoctor\RegDoctor.exe -Quick

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093860170789

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

esta entrada O4 - HKLM\..\Run: [RegDoctor] C:\Archivos de programa\RegDoctor\RegDoctor.exe -Quick si la conozco pues es del programa regdoctor que tengo instalado.

Con respecto a este enlace http://www.hijackremote.com/RecentSpywareDetail1386.aspx alguno puede decirme que pone pues no entiendo nada de ingles?, Muchas gracias a todos y perdonad las molestias.

Mensaje por **maura63** » 07 Jun 2006, 16:57

Si no actualizas, como ha comentado Msc, estaras con problemas en cinco minutos.

Logfile of HijackThis v1.99.1

Scan saved at 16:54:45, on 07/06/2006

Platform: [color=red]Windows XP SP1 [/color](WinNT 5.01.2600)

MSIE: [color=red]Internet Explorer v6.00 S[/color]P1 (6.00.2800.1106)

Conecta con windows update y actualiza con urgencia al SP2 + parches posteriores que hay la tira.

Saludos

maura63

muchamelena · Mensaje por **muchamelena** » 07 Jun 2006, 17:16

tambien me gustaria que dijerais algo sobre esto que me sale en el TCActive del The Cleaner en la parte inferior en una ventana titulada BHO list

"Yahoo ! Toolbar Helper" - c:\archivos de programas\Yahoo\Companion\installs\cpn\yt.dll

"AcrolEHprObjClass" - C:\Archivos de programas\Adobe\Acrobat 7.0\ActiveX\AcrolEHelper.dll

"No Name" - C:\archiv~1\SPYBOT~1\SDHelper.dll

"Google Toolbar Helper - C:\Archivos de programas\google\googletoolbar1.dll

Mensaje por **msc hotline sat** » 07 Jun 2006, 17:18

Sí, hay que eliminar otras claves, pero antes todo. como se le ha indicado, actualice los parches.

Han aparecido ademas otros residentes P2P, razon por la que entendemos que descarga ficheros por dicho medio, causa probable de sus infecciones

Tan pronto tenga actualizados los parches, si persisten los problemas, indiquenos cuales y posteenos nuevo log del HJT

saludos

ms, 7-6-2006

muchamelena · Mensaje por **muchamelena** » 07 Jun 2006, 17:19

Vale ya actualizaré a SP2 y parches posteriores ahora estoy corto de tiempo aparte del SP2 veis algo raro en el nuevo log y si podeis traducirme lo del enlace y contestarme a esto que os acabo de poner agradecido. Gracias y perdonad las molestias.

muchamelena · Mensaje por **muchamelena** » 07 Jun 2006, 17:40

Por cierto quiero tambien deciros que no uso nunca para navegar el Internet explorer yo uso Opera siempre.

Espero que me deis vuestras respuestas a mis preguntas anteriores y en cuanto pueda por cuestión de tiempo a causa del trabajo actualizaré a SP2 y demás parches.

Muchas Gracias, perdonad las molestias y espero vuestras respuestas. Hasta mañana tengo que currar.

Mensaje por **msc hotline sat** » 07 Jun 2006, 17:55

No creo que los BHO afecten al Opera, pues son Browse Helper Object del I.E. , asi que no tratandose del I.E. no tengo referencias

Eso sí, los parches de windows afectan a todos los navegadores, pues son para el sistema operativo, aparte de los que son para el I.E. y otras aplicaciones.

Si alguien sabe algo al respecto del Opera que lo diga, yo no trabajo con él y no sé las claves que utiliza.

saludos

ms, 7-6-2006

Mensaje por **maura63** » 07 Jun 2006, 18:07

Ya esta.... :lol: :lol:

Para el Opera hay que pasarle un programita TRI :lol: se llama

lostrestenores V7.10

:mrgreen: :mrgreen:

Bromas aparte....tampoco lo conozco.

Saludos

maura63

Mensaje por **msc hotline sat** » 07 Jun 2006, 19:44

Anda ya maura63! me lo has hecho leer hasta el final...

Lamentandolo mucho, es el riesgo de no usar el standar, que conocemos hasta la saciedad...

Pero... hay alguien mas ??? ...

Me consta que aparte del I.E hay quien usa NetScape, Firefox, Opera , a ver si alguien domina este último y ayuda en este Tema!

saludos

ms, 7-6-2006

muchamelena · Mensaje por **muchamelena** » 07 Jun 2006, 21:30

Aquí os pongo un nuevo log espero que si veis algo que deba de quitar me lo indiqueis para poder eliminarlo.

Logfile of HijackThis v1.99.1

Scan saved at 21:27:28, on 07/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\ewido\security suite\ewidoguard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Norman\bin\ZANDA.EXE

C:\Norman\bin\ZLH.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Norman\bin\NJEEVES.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\The Cleaner\tca.exe

C:\Archivos de programa\The Cleaner\tcm.exe

C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe

D:\carmen\P2PFire1.3.1d\P2PFire.exe

D:\P2PHazard2Beta02a\P2PHazard2.exe

C:\Archivos de programa\eMule\emule.exe

C:\NORMAN\nvc\BIN\nvcoas.exe

C:\NORMAN\nvc\BIN\NVCSCHED.EXE

C:\Norman\Nvc\bin\cclaw.exe

C:\Archivos de programa\Opera\Opera.exe

C:\WINDOWS\system32\notepad.exe

C:\Documents and Settings\JOSE\Mis documentos\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll (file missing)

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [tcactive] C:\Archivos de programa\The Cleaner\tca.exe

O4 - HKLM\..\Run: [tcmonitor] C:\Archivos de programa\The Cleaner\tcm.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe /waitservice

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [RegDoctor] C:\Archivos de programa\RegDoctor\RegDoctor.exe -Quick

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093860170789

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\ARCHIV~1\Agnitum\OUTPOS~1\outpost.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

De nuevo muchas gracias por todo y por cierto maura, tadé un poco en darme cuenta detu broma, c**o que casi busco el programa que pones.

Bueno espero vuestras respuestas y muchas gracias aunque necesito que si podais alguno me digas o traduzcais lo que pone tambien en este enlace pues de ingles no se nada de nada.

http://www.hijackremote.com/RecentSpywareDetail1386.aspx

Compis muchas gracias y me parece que ya os estoy molestando demasiado, perdonadme xfa.

Mensaje por **msc hotline sat** » 07 Jun 2006, 21:42

Esta eliminala uses lo que uses:

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll (file missing)

o esto. o instalas la DLL en cuestion, que está missing !

aunque de poco te iba a servir si no usas el I.E...

saludos

ms, 7-6-2006

muchamelena · Mensaje por **muchamelena** » 08 Jun 2006, 06:53

Por favor Podeis darme más detalles sobre la dll que dice que debo instalar llamada missin ycomo hacerlo?. Muchas gracias.

Mensaje por **msc hotline sat** » 08 Jun 2006, 07:03

No hombre no, missing es ausente, inexistente, perdida, etc en ingles

La clave en cuestion quietre vcargar esta DLL: msntb.dll y no la encuentra, por ello dice que está missing !!!

O eliminas la clave o copias dicha DLL a la ruta donde indica la clave:

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll (file missing)

saludos

ms, 8-6-2006

muchamelena · Mensaje por **muchamelena** » 08 Jun 2006, 19:47

Entonces debo de coger esta dll y copiarla en la dirección que pones ¿es así?, si es así desde donde puedo descargarmelo o encontrarla?

Por cierto me queda que me traduzcais lo de este enlace o me hagais el favor de explicarme que dice, pues yo de inglés no se nada.

http://www.hijackremote.com/RecentSpywareDetail1386.aspx

Muchas Gracias nuevamente y perdonad todas las molestias que os estoy causando.

Mensaje por **msc hotline sat** » 09 Jun 2006, 07:01

La DLL la puedes copiar de otra maquina con igual sistema

y la clave que indicas es malware, simplemente eliminala

saludos

ms, 9-6-2006

Os pego mi log a ver que encontrais y como solucionarlo.

Re: Os pego mi log a ver que encontrais y como solucionarlo.