NO ANDA COMO DEBIERA¡¡ *

[ACRUX2000]

Hola una vez mas recurro a vosotros ultimamente se me relentiza demasiado, le he pasado todo lo que conozco y me dice que no hay virus ni spyw, pero no se, posteo la lista del hjthisa ver si veis algo, si no será de hardware. Muchas gracias.



Logfile of HijackThis v1.99.1

Scan saved at 11:32:34, on 10/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ZoneLabs\isafe.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\HJT\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: IE PopUp-Killer - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\ARCHIV~1\Ashampoo\ASHAMP~1\PopUp.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{30962CFD-79CE-468F-8427-4BE46B2250F4}: NameServer = 194.224.52.36,194.224.52.37

O17 - HKLM\System\CCS\Services\Tcpip\..\{FC0A8DC2-2634-4F78-B978-08956607DDD9}: NameServer = 80.58.32.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{30962CFD-79CE-468F-8427-4BE46B2250F4}: NameServer = 194.224.52.36,194.224.52.37

O17 - HKLM\System\CS2\Services\Tcpip\..\{30962CFD-79CE-468F-8427-4BE46B2250F4}: NameServer = 194.224.52.36,194.224.52.37

O17 - HKLM\System\CS3\Services\Tcpip\..\{30962CFD-79CE-468F-8427-4BE46B2250F4}: NameServer = 194.224.52.36,194.224.52.37

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[msc hotline sat]

Empieza por el principio:



https://foros.zonavirus.com/viewtopic.php?t=5148



Tras ello, complementalo con el ELISTARA como se indica en el tutorial de antispywares:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





y nos comentas el resultado, gracias



saludos



ms, 10-6-2006

[ACRUX2000]

hola de nuevo, he hecho todo, pero hay virus o trj que no se limpian, a ver que podeis decirme.



Logfile of HijackThis v1.99.1

Scan saved at 17:24:40, on 19/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\ZoneLabs\isafe.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {125776B4-B35A-B3B3-645D-EF8BE762D63E} - (no file)

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\poqyb.dll (file missing)

O2 - BHO: IE PopUp-Killer - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\ARCHIV~1\Ashampoo\ASHAMP~1\PopUp.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\poqyb.dll (file missing)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels8.exe

O4 - HKLM\..\Run: [dmxtn.exe] C:\WINDOWS\system32\dmxtn.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {2882C368-D508-11D4-A2AB-000102598CE4} (LProtect Control) - http://download.globalhauri.com/Eng/online_service/livecall.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4779/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{30962CFD-79CE-468F-8427-4BE46B2250F4}: NameServer = 85.255.113.109,85.255.112.141

O17 - HKLM\System\CCS\Services\Tcpip\..\{7DF75413-A528-4B38-A5C7-C745B54C1ACF}: NameServer = 85.255.113.109,85.255.112.141

O17 - HKLM\System\CCS\Services\Tcpip\..\{8FA7EE91-DB20-467E-A45E-070B0008D380}: NameServer = 85.255.113.109,85.255.112.141

O17 - HKLM\System\CCS\Services\Tcpip\..\{965E1CEE-CC82-465B-8F1A-E380151FADEB}: NameServer = 85.255.113.109,85.255.112.141

O17 - HKLM\System\CCS\Services\Tcpip\..\{9B3940D1-02D4-4943-A6DC-D4D47497157A}: NameServer = 85.255.113.109,85.255.112.141

O17 - HKLM\System\CCS\Services\Tcpip\..\{D92F6E3B-AE2D-4FA4-A771-A9301529F722}: NameServer = 85.255.113.109,85.255.112.141

O17 - HKLM\System\CCS\Services\Tcpip\..\{FC0A8DC2-2634-4F78-B978-08956607DDD9}: NameServer = 85.255.113.109,85.255.112.141

O17 - HKLM\System\CS1\Services\Tcpip\..\{30962CFD-79CE-468F-8427-4BE46B2250F4}: NameServer = 194.224.52.36,194.224.52.37

O17 - HKLM\System\CS2\Services\Tcpip\..\{30962CFD-79CE-468F-8427-4BE46B2250F4}: NameServer = 85.255.113.109,85.255.112.141

O17 - HKLM\System\CS3\Services\Tcpip\..\{30962CFD-79CE-468F-8427-4BE46B2250F4}: NameServer = 85.255.113.109,85.255.112.141

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe







gracias

[maura63]

Por lo pronto



O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe [color=red]W32/RBOT-QE WORM[/color]





Saludos

maura63

[msc hotline sat]

[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]





EN REVISION DE LOS TITULOS:



El titulo de su Tema no refleja el problema



[b]NOTA: Y RECUERDA [/b]



[url=http://foros.zonavirus.com/viewtopic.php?t=1307][b]No despercicies los titulos, dicen mucho[/b][/url]

[msc hotline sat]

y lanza el ELISTARA y complementalo eliminando las siguientes claves:



O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\poqyb.dll (file missing)



O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\poqyb.dll (file missing)





y como ya le indicará el ELISTARA tiene muchas claves direcionando hacia unos

os servidores de DNS maliciosos:: 85.255.113.109 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company

85.255.112.141 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



Elimine las siguientes



O17 - HKLM\System\CCS\Services\Tcpip\..\{30962CFD-79CE-468F-8427-4BE46B2250F4}: NameServer = 85.255.113.109,85.255.112.141



O17 - HKLM\System\CCS\Services\Tcpip\..\{7DF75413-A528-4B38-A5C7-C745B54C1ACF}: NameServer = 85.255.113.109,85.255.112.141



O17 - HKLM\System\CCS\Services\Tcpip\..\{8FA7EE91-DB20-467E-A45E-070B0008D380}: NameServer = 85.255.113.109,85.255.112.141



O17 - HKLM\System\CCS\Services\Tcpip\..\{965E1CEE-CC82-465B-8F1A-E380151FADEB}: NameServer = 85.255.113.109,85.255.112.141



O17 - HKLM\System\CCS\Services\Tcpip\..\{9B3940D1-02D4-4943-A6DC-D4D47497157A}: NameServer = 85.255.113.109,85.255.112.141



O17 - HKLM\System\CCS\Services\Tcpip\..\{D92F6E3B-AE2D-4FA4-A771-A9301529F722}: NameServer = 85.255.113.109,85.255.112.141



O17 - HKLM\System\CCS\Services\Tcpip\..\{FC0A8DC2-2634-4F78-B978-08956607DDD9}: NameServer = 85.255.113.109,85.255.112.141



O17 - HKLM\System\CS2\Services\Tcpip\..\{30962CFD-79CE-468F-8427-4BE46B2250F4}: NameServer = 85.255.113.109,85.255.112.141



O17 - HKLM\System\CS3\Services\Tcpip\..\{30962CFD-79CE-468F-8427-4BE46B2250F4}: NameServer = 85.255.113.109,85.255.112.141



Borre estas, pero cuidado no borre la clave buena o se quedaría sin poder navegar : O17 - HKLM\System\CS1\Services\Tcpip\..\{30962CFD-79CE-468F-8427-4BE46B2250F4}: NameServer = 194.224.52.36,194.224.52.37



y tras reiniciar nos comenta el resultado, gracias



saludos



ms, 19-6-2006

[ACRUX2000]

Pues la he cagado he eliminado la linea de mi propia dns ahora te escribo desde otro ord. Me avisaste, pero los nervios me traicionaron.

Ahi estoy a ver si reparo esto.



de paso de pongo algunos virus que me detectó el AVG.



Kernels8.exe

Downloader Tibs

dlh9jkdq5.exe

dlh9jkdq6.exe





Gracias y Saludos.

[msc hotline sat]

Tranquilidad, para esto está el UNFIX:







saludos



ms, 23-6-2006

[msc hotline sat]

Y para lo otro que detecta el AVG, para el oprimeriom, elimine esta clave:



O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels8.exe



Para el segundo, arranque en modo seguro y al ser un downloader el AVG ha de poder eliminarlo, y sino envienos el fichero donde lo detecta a zonavirus@satinfo.es anexado a un mail indicando referencia TEF TIBS



Los otros dos mo los veo en el log del HJT, si quieres, envianoslos tambien con el anterior y los analizaremos e implementaremos si procede en niuestras utilidades parea sui control y eliminacion (y ya puestos, añade tambien el C:\WINDOWS\system32\kernels8.exe y asi lo controlaremos tambien)



saludos



ms, 23-6-2006

[ACRUX2000]

OK, gracias ya he recuperado la linea. Ahora me pongo manos a la obra con lo que me has dicho.



Muchas Gracias

[ACRUX2000]

En cuanto a la linea del hjthis para eliminar, no la encuentro ya no está, te he mandado el kernels8.exe y otro más.

De todas formas te posteo el ultimo hjthis:



Logfile of HijackThis v1.99.1

Scan saved at 19:37:33, on 23/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\ZoneLabs\isafe.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\QuickTime\qttask.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Plus\Ad-Aware.exe

C:\Archivos de programa\HJT\HijackThis.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: IE PopUp-Killer - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\ARCHIV~1\Ashampoo\ASHAMP~1\PopUp.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Archivos de programa\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {2882C368-D508-11D4-A2AB-000102598CE4} (LProtect Control) - http://download.globalhauri.com/Eng/online_service/livecall.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4779/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FC0A8DC2-2634-4F78-B978-08956607DDD9}: NameServer = 194.224.52.36,194.224.52.37

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Boonty Games - BOONTY - C:\Archivos de programa\Archivos comunes\BOONTY Shared\Service\Boonty.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



gracias

[msc hotline sat]

Efectivamente, ha hecho limpieza, pero diganos s¡ ya se comporta como debe o sino, que le encuentra de raro ...



De todas formas, el lunes examinaremos las muestras e implementaremos su control y eliminacion si procede, de claves y congeneres que generen, por lo que, en cualquier caso convendrá pasar la utilidad que hagamos al respecto, de lo cual informaremos



saludos



ms, 23-6-2006

[ACRUX2000]

Ha mejorado mucho, antes al arrancar tenía que hacerlo varias veces ya que se bloqueaba, ahora eso está solucionado, lo unico que noto es que se relentiza de vez en cuando, el disco duro se pone a trabajar y no puedo hacer nada hasta que no acaba. No se mucho pero a lo mejor es culpa de estos virus ue me quedan.

Per en general la mejora ha sido apreciable.



Muchas gracias por todo.

un saludo

[msc hotline sat]

Pues aparte de probar las utilidades que haremos al respecto de las muestras, desgfragmenta el disco duro, que igual lo tienes muy fragmentado...



Ya sabes, MIPC -> Boton derecho sobre unidad C -> Propiedades -> Herramientas -> primero compruebas y luego desfragmentas



Aparte mira que tu disco duro tenga libres 3 o 4 GB para el paginado de memoria y demas, y que la memoria RAM sea suficiente (mejor 1 GB que 512 MB... :lol: )



saludos



ms, 23-6-2006