Conexión pirata ¿Cómo entró en mi laptop? (SOLUCIONADO)

[viernes]

Y sobre todo: ¿Cómo sacarla?

Tengo un laptop windows XP, de menos de 2 años. No había tenido problemas de virus mientras tenía una tarifa plana wanayuyu de fin de semana. Hace poco más de un mes la convertí en tarifa plana de 18h a 08h toda la semana, y a partir de ahí, me empezaron los problemas. Cada vez que me conecto, mientras abro mi explorer y me meto en las dos páginas habituales, de repente otra conexión telefónica llamada ENTER, me anula la mía y se me abre con un portal erótico. He mirado la barra de dirección para ver qué pone, y me sale esta:



http://64.156.31.59/index.php?route=114



Y los letreros que salen son los siguientes:

EL ESPACIO DE ABONADOS (en mayúsculas)

http://www.membersplayground.com



¿Alguien sabe qué es todo esto?

Mi terror es que me cuelen luego una factura telefónica astronómica, de mi servidor, o del pirata... o de Timofónica, no sé.

Espero vuestra respuesta, y por favor, en lenguaje sencillito... que yo para esto tengo 3 añitos de edad.

[msc hotline sat]

Dinos si tu router tiene wireless y si lo usas.



Aparte prueba esta utilidad:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 2-10-2006

[viernes]

[quote]Dinos si tu router tiene wireless y si lo usas. [/quote]

Os comenté que mi lenguaje en estos temas es muy limitado.

No sé qué es router ni qué es wireless. Tengo un laptop pequeño, con los correspondientes cables de conexión telefónica y de conexión a red. Tiene varias imágenes en los laterales, como por ejemplo: auriculares, micro, etc..., no sé más. Intentaré mirar el manual.

Gracias por cada respuesta.

[msc hotline sat]

El router es un aparato al que llegan los cables de telefono y sale otro para el ordenador., u wireless es la conexion sin cables, por radiofrecuencia



Dinos como es tu conexion a internet, a traves de qué medio y si es con o sin cables y en cualquier caso pruieba el ELISTARA...



saludos



ms, 2-10-2006

[viernes]

[quote]El router es un aparato al qie llegan los cables de telefono y sale otro para el ordenador., u wireless es la conexion sin cables, por radiofrecuencia [/quote]
Te cuento: tengo un cable que enchufo a la toma telefónica del laptop, y lo conecto a la toma del teléfono. El otro cable con la punta delgada y redonda es el que introduzco en el pc y con el alargo que tiene, lo enchufo a la toma de la pared.

Sí que debe tener wireless, porque cuando lo enciendo, me sale una ventanita que dice "conexiones de red inalámbricas no está conectado". Esa debe ser por si quieres navegar con la "colaboración" de los vecinos, no?

Creo que con eso ya te he contestado cómo es mi conexión a Internet. A través de mi línea Timofónica y con los servicios de Wanayuyu.

Una vez fuí a una biblioteca donde se podía llevar el laptop y conectarte allá, a través de ellos. Creo recordar que me hablaron de un tal wifi :lol: . Sí, sí, como te podrás dar cuenta, lo mío en estos temas es como navegar sin barco, en medio del mar... y sin saber nadar.


[quote]Aparte prueba esta utilidad:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp[/quote]
Acabo de clicar en el enlace y se ma ha abierto una página que me ha dado hasta miedo. No sé qué hacer con ella.

No os riáis muchito de mí, pobriña, pero es que, casi que necesito que me lo expliquéis como si yo fuera border line.

Entre ayer y hoy, mirando vuestra labor, e intentando armarme de valor para pedir vuestra ayuda, me he dado cuenta que sois unos hachas y muy buena gente, pero creo que al final teminaréis echándome, o dándome el premio a la mucho más ineficaz nueva miembra.

Espero temblorosa vuestras indicaciones para empezar (¿no hay emoticono temblando?).

Gracias por vuestra atención. No os beso porque ayer limpié muy bien mi pc..., quiero decir de polvo, no de virus. ¡Qué más quisiera yo!

[msc hotline sat]

Su laptop tiene wifi o wireless (es lo mismo) pero parece que su router no o no lo tiene activo, por lo de "conexiones de red inalámbricas no está conectado" mejor, menos riesgo vecinal...



Oyes vanis a becesutrar que nos postee (copie y pegue en su proximo post) el log del HJT:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos



saludos



ms, 3-10-2006

[viernes]

Muchísimas gracias. Ahora mismo no puedo hacerlo porque estoy en clase, pero en cuanto empiece esta tarde mi tarifa plana, a partir de las 18h, haré lo que me dices. Espero que todo me salga bien, pues soy de las que se colpasan cuando algún paso me pone en una encrucijada. Siempre elijo la opción errónea. Pura ley de Murphy.

Hasta después, pues.

[msc hotline sat]

Cuando puedas lo posteas como respuesta a este Tema, y lo miraremos, gracias



saludos



ms 3-10-2006

[viernes]

¡Hola!

Ya estoy aquí y con lo que me has pedido. Espero haber seguido los pasos correctos:



Logfile of HijackThis v1.99.1

Scan saved at 18:29:02, on 03/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\DOCUME~1\ibrahima\CONFIG~1\Temp\Directorio temporal 1 para hijackthis[1].zip\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q105&bd=presario&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q105&bd=presario&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [bikini] bikini.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [VoipCheapCom] "C:\Archivos de programa\VoipCheapCom\VoipCheapCom.exe" -nosplash -minimized

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q105&bd=presario&pf=laptop

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://paranollassamo.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3A5CAF72-E9AC-4834-A61B-316B89F9ACDD}: NameServer = 62.36.225.150 62.37.228.20

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Archivos de programa\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe



¿Y qué hago con estos datos? ¿Los dejo archivados?

Ya me dirás si voy desenfundando la escopeta.

Hasta pronto y gracias.



PD: olvidé enchufar mi pen driver donde guardo documentos varios. ¿Estará contaminado?

[msc hotline sat]

Aquí tienes tu problema:



O4 - HKLM\..\Run: [bikini] bikini.exe



Es que te gusta ir en bikini por ahí...??? :lol: :lol: :lol:





Arranca en modo seguro y lanza el HJT, marca la casilla de la izquierda de esta clave y eliminala con FIX CHECKED





Luego reinicias normalmente y ya no tendrás el bicho en marcha. Entonces buscas este fichero BIKIINI.EXE con Inicio -> Buscar -> Todos los ficheros y carpetas y cuando lo encuentres lo anexas a un mail dirigido a nosotros y nos lo envias:





Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.



saludos



ms, 3-10-2006



Nota: Puede ser este virus, u en tal caso el fichero estaría en C:\windows\system32:



http://www.vsantivirus.com/lowzones-dm.htm

[viernes]

[quote]Es que te gusta ir en bikini por ahí...??? [/quote]
:lol: :lol: :lol: En bikini NO!! En pelota picada, que soy nudista :twisted: .


[quote]Arranca en modo seguro y lanza el HJT, marca la casilla de la izquierda de esta clave y eliminala con FIX CHECKED[/quote]
Amigo, ¿cómo se arranca en modo seguro? ¿Y es fácil eliminar la clave con lo que dices? Veo que confías en mí... :oops:

[msc hotline sat]

Para eliminar la clave es arrancar en el modo indicado y lanzar el HJT y marcar la casilla de dicha clave y darle al FIX CHECKED, como te he indicado



y para arrancar en modo seguro:



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



saludos



ms, 3-10-2006

[viernes]

He seguido las instrucciones para arrancar en Modo Seguro en mi caso rebelde Windows XP.


[quote]Una vez terminado el proceso que se quería realizar arrancando en modo seguro, para volver a la normalidad el sistema, repita los pasos 1 a 4, pero en ese punto, desmarque la casilla "/SAFEBOOT". Luego confirme los cambios, y reinicie su computadora. [/quote]

Al terminar el proceso, como no tenía ninguna chuleta para recordar este párrafo que te acabo de citar, y al aparecerme una ventana con lo siguiente:



UTILIDAD DE CONFIGURACION DEL SISTEMA

Ha ejecutado la utilidad de configuración del sistema para realizar cambios en la forma en que Windows se inicia.

La utilidad de configuración del sistema está actualmente en Diagnóstico o modo de Inicio selectivo, haciendo que se muestre este mensaje y que la utilidad se ejecute cada vez que Windows se inicia.

Elija el modo de inicio normal en la ficha general para iniciar Windows normalmente y deshacer los cambios que efectuó usando la Utilidad de configuración del sistema.



[b][/b] No volver a mostrar este mensaje o iniciar la Utilidad de configuración del sistema cuando se inicie Windows.

/ [u]ACEPTAR[/u] \



yo, tonta de mí, o demasiado desconfiada, le dí a aceptar, por miedo a haber hecho algo mal y que se me desconfigurara todo.

Así que creo que tendré que volver a hacerlo nuevamente, con el trabajo que me costó, y confirmar los cambios esta vez.

Será mañana, porque hoy mi seso no da para mucho más.


[quote]Para eliminar la clave es arrancar en el modo indicado y lanzar el HJT y marcar la casilla de dicha clave y darle al FIX CHECKED, como te he indicado.[/quote]
Supongo que si lo hago todo bien mañana, no tendré ningún problema al seguir estas indicaciones, porque como me empiecen a salir cosas raras otra vez, la escopeta, que ya la tengo cargada, la apuntaré contra mí en vez de contra este apestoso cacharro.

Esta noche no podré dormir, ni mañana, no hasta que no consiga deshacerme del bicho este, que cada vez está más agresivo.

Buenas noches y gracias.

[msc hotline sat]

Aparte de nudista eres masoquista, eh viernes ?



Con lo facil que es arrancar en modo seguro haciendo lo, primero que indicamos:


[quote]1.- Salga de todos los programas

2.- Seleccione Inicio, Apagar el sistema.

3.- Apague la computadora, y aguarde 10 segundos (no use el botón RESET, usted debe apagar su PC para borrar cualquier posible virus en memoria).

4.- Encienda su PC.

5.- pulse F8 repedidas veces hasta que salga un menu

6.- Seleccione "Modo a prueba de fallos" o similar, y Windows debería arrancar en este modo, si tiene windows Xp pulse en Modo Seguro
[/quote]

has tenido que hacer lo mas dificil, reservado para los casos que no funcione lo primero...



Pues nada, a partir de ahora ya buscaré soluciones dficiles para tus problemas 8)



Suerte viernes...



saludos



ms, 4-10-2006

[viernes]

¡¡Qué maloso!!

Hice lo difícil porque lo fácil no me funcionó, o al menos me colapsé cuando me apareció la pantalla en negro con el escritorio y ni flowers, oye.

Pero creo que hoy lo haré mejor. Ah, cuando me descargué el hijack ese, no lo guardé, le dí simplemente a la opción de abrir, (ah, Murphy, mi gran amigo). Por eso no lo encuentro por ningún lado. Sólo guardé la página con el informe del bikini ;-)

Prometo ser buena.

Hasta luego, pingüino.

[msc hotline sat]

Mientras esperamos recibir el fichero muestra del BIKINI.EXE, nos hemos informado al respecto y podemos decir que su funcion es la de bajar el nivel de seguridad del ordenador haciendolo mas vulnerable, esto es , bajar la proteccion para que se pueda infectar con cualquier malware mas facilmente



Si todavia no nos has enviado la muestra, hazlo ya o implementaremos su eliminacion por teoria, ahora que hemos recopilado informacion del mismo y vemos lo que hace y como lo hace, para deshacerlo



saludos



ms, 4-10-2006

[msc hotline sat]

Por cierto, sobre las 7 h de hoy te he enviado un privado que rodavñia no has abierto.



Pulsa donde dice Tienes 1 mensaje privado nuevo...



Quizas no lo has hecho nunca todavia, pero todo se aprende...



saludos



ms, 4-10-2006

[viernes]

Acabo de empezar desde el principio. He descargado y guardado el HJT ya con mi pen driver enchufado para ver si hay algo raro ahí.

Ah, además del archivo sospechoso Bikini, también he encontrado el de VoipcheapCom, que fue el que me empezó a dar problemas. Se me abría su ventana en el escritorio, nada más encender mi pc, junto a la del messenger y con un icono al lado de la hora sin yo haber programado ésto.

Te envío nuevamente el informe y me pongo a hacer lo del FIX CHECKED.



Logfile of HijackThis v1.99.1

Scan saved at 20:08:41, on 04/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\DOCUME~1\ibrahima\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=ES_ES&c=Q105&bd=presario&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q105&bd=presario&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [bikini] bikini.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [VoipCheapCom] "C:\Archivos de programa\VoipCheapCom\VoipCheapCom.exe" -nosplash -minimized

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=ES_ES&c=Q105&bd=presario&pf=laptop

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://paranollassamo.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3A5CAF72-E9AC-4834-A61B-316B89F9ACDD}: NameServer = 62.36.225.150 62.37.228.20

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Archivos de programa\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe



PD: acabo de ver el MP. Muchísimas gracias. Ya te contaré qué tal cuando acabe mi operación.

Hasta pronto, madrugador.

[msc hotline sat]

Todavía veo en este log la entrada que has de eliminar:



O4 - HKLM\..\Run: [bikini] bikini.exe



y por cierto, nos has enviado ya el fichero bikini.exe ???



En cualquier caso, ademas, envianos este otro que dices que te incordia "VoipCheapCom.exe" que no te pedi por suponer que era algo de telefonia por IP, pero si no es de instalacion, lo analizaremos tambien



Y hasta mañana... a las 4 o te va mejor a las 5 ? AM, claro 8)



saludos



ms, 4-10-2006

[viernes]

Hola!!! Sigo viva!!!

Esta vez lo he hecho todo tal cual.

Intenté enviaros el Bikini abriendo mi correo, pero no pude. Así que lo cerré, me coloqué con el buscador en el bicho ese, intenté hacer un corta-pega pero no funcionó.

De repente se me encendió la bombilla :roll: y me puse en la palabra bikini y con el botón derecho le dí a enviar por correo. Se me abrió una ventana que me pedía mi dire y mi contraseña. Seguí los pasos y se me abrió mi correo con el asunto ya colocado, y en el cuerpo del mensaje había unas letrillas que indicaban que se enviaba el asunto en cuestión. Puse la referencia y envié.

No sé si os habrá llegado bien. Por si acaso, lo he guardado en la carpeta.

Ahora sí que me consume la curiosidad por saber si me salió todo bien.

Bah, ¿qué te parece las 3am? Yo que tú no dormiría esta noche... :lol:



PD: el VoipCheapCom fue un programa de supuestas llamadas internacionales gratis que me descargué. No me funcionó y lo quise desinstalar pero no se dejó. Te lo enviaré.

Gracias!!!

[msc hotline sat]

Si sabes lo que es, no hace falta que lo envies, simplemente era para descartar malwares



Y cuando llegue a la empresa preguntare si se ha recibido tu bikini.exe ...



Mientras, baja el ultimo ELISTARA y pruebalo, porque a lo mejor te llevas una sorpresa:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 5-10-2006

[viernes]

[quote]Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]
Lo descargué y luego lo lancé. Me salió una ventanita que me preguntaba si quería borrar la página de inicio y búsqueda de Internet (creo recordar). Le dije que no. Analicé luego el dico C y el E (pen driver), y al acabar, no ví ningún informe como aquel tan largo que me salió en el otro proceso.

Ah, por cierto, primero activé el programa con el pc encendido. Luego, como no me salió lo que yo creía que debía salir, lo apagué y lo inicié en modo seguro. Me volvió a salir lo mismo. Entonces me he ido a Inicio--> Buscar--> disco C--> \infosat:txt

Y después de mucho rato, me salió que no había nada.

Sé que algo he hecho mal, pero no sé qué :cry:

Cambio y corto.

Gracias por tu paciencia.

[msc hotline sat]

No, todo lo contrario, no crea informe de incidencias porque ya no hay incidencias !



Felicidades, ya estas limpia ! (y sin bikini... !)





Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 6-10-2006