no se ke virus es ayudaaa...

GuisheSalou · Mensaje por **GuisheSalou** » 05 Oct 2006, 20:54

os explico, ensciendo el pc, y todo marcha bien hasta ke empiezan a aparecer errores y ventanas de msdos, despues de cerrarlas, empiezan a aparecer paginas web una detras de otra sin parar.. al final las consigo cerrar pero de vez en cuando vuelven a aparecer y las tengo ke ir cerrando y los link son a paginas japonesas o no se... en fin ke leyendo por aki cogi tres programas, elitrip , elistara y hjackthis, inicie en modo fallos esperandome 1 minuto para ke el virus o lo ke sea no se kede en la memoria y empece a ejectuar los programas, elitrip me borra un gusano siempre lo hace pero luego al ejectuar elistara se keda en resutaurando registro del sistema... bueno ke no se ke hacer, aki os pongo el log de hijack this

Logfile of HijackThis v1.99.1

Scan saved at 20:36:21, on 05/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\WINLOGON.EXE

C:\Documents and Settings\HP_Propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.4199.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.4199.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.4199.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe 1

O1 - Hosts: 61.162.230.31 localhost

O1 - Hosts: 61.162.230.31 http://www.7322.com

O1 - Hosts: 61.162.230.31 http://www.5566.net

O1 - Hosts: 61.162.230.31 http://www.v111.com

O1 - Hosts: 61.162.230.31 http://www.gjj.cc

O1 - Hosts: 61.162.230.31 http://www.hao123.com

O1 - Hosts: 61.162.230.31 hao123.com

O1 - Hosts: 61.162.230.31 http://www.265.com

O1 - Hosts: 61.162.230.31 265.com

O1 - Hosts: 61.162.230.31 http://www.9991.com

O1 - Hosts: 61.162.230.31 9991.com

O1 - Hosts: 61.162.230.31 http://www.v111.com

O1 - Hosts: 61.162.230.31 http://www.gjj.cc

O1 - Hosts: 61.162.230.31 http://www.9505.com

O1 - Hosts: 61.162.230.31 9505.com

O1 - Hosts: 61.162.230.31 http://www.7939.com

O1 - Hosts: 61.162.230.31 7939.com

O1 - Hosts: 61.162.230.31 59.34.148.98

O1 - Hosts: 61.162.230.31 about:blank

O1 - Hosts: 218.201.94.20 down.Virussky.com

O1 - Hosts: 218.201.94.20 60.191.60.108

O1 - Hosts: 218.201.94.20 219.153.20.209

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\ARCHIV~1\Yahoo!\ASSIST~1\Assist\yphtb.dll

O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\ARCHIV~1\Yahoo!\ASSIST~1\Assist\yangling.dll

O2 - BHO: ÑÅ»¢ÖúÊÖ - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\ARCHIV~1\Yahoo!\ASSIST~1\Assist\yasbar.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\ARCHIV~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll

O3 - Toolbar: Vista de HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Archivos de programa\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: ÑÅ»¢ÖúÊÖ - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\ARCHIV~1\Yahoo!\ASSIST~1\Assist\yasbar.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Archivos de programa\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [ccApp] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NAV CfgWiz] "c:\Archivos de programa\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"

O4 - HKLM\..\Run: [IS CfgWiz] c:\Archivos de programa\Archivos comunes\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"

O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe

O4 - HKLM\..\Run: [Update] C:\Archivos de programa\Archivos comunes\UPDATE2\Update.exe

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32

O4 - HKLM\..\Run: [] C:\WINDOWS\system32\intenat.exe

O4 - HKLM\..\Run: [SoundMam] C:\WINDOWS\system32\SVOHOST.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\McAfee.com\Agent\McUpdate.exe

O4 - HKLM\..\Run: [MCAgentExe] C:\ARCHIV~1\McAfee.com\Agent\McAgent.exe

O4 - HKLM\..\Run: [ToP] C:\WINDOWS\LSASS.exe

O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE

O4 - HKLM\..\Run: [run] C:\WINDOWS\system32\rundll32.exe rsrc.dll s

O4 - HKCU\..\Run: [updatereal] C:\WINDOWS\realupdate.exe other

O4 - HKCU\..\Run: [msnnt] C:\WINDOWS\winampc.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: ???? - res://C:\ARCHIV~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246

O8 - Extra context menu item: Ìí¼Óµ½ÑÅ»¢¶©ÔÄ(&Y) - res://C:\ARCHIV~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: (no name) - {6354ABE6-05F1-49ed-B850-E423120EC338} - http://cn.widget.yahoo.com/index.htm?source=Cns (file missing)

O9 - Extra button: Instant Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [!CNS] Chinese keywords

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Performance Moniter (MOVEESS) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL.EXE (file missing)

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Network Logons (NetWorkLogons) - Unknown owner - rundll32.exe (file missing)

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Windows Desktop Multimedia (ntkrnl) - Unknown owner - C:\WINDOWS\SYSTEM32\ntkrnl.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

tb he usado el adaware y spybot search and destroy...

muxas graciass

Mensaje por **flacoroo** » 05 Oct 2006, 21:09

para empezar borrate estas entradas:

O1 - Hosts: 61.162.230.31 http://www.7322.com

O1 - Hosts: 61.162.230.31 http://www.5566.net

O1 - Hosts: 61.162.230.31 http://www.v111.com

O1 - Hosts: 61.162.230.31 http://www.gjj.cc

O1 - Hosts: 61.162.230.31 http://www.hao123.com

O1 - Hosts: 61.162.230.31 hao123.com

O1 - Hosts: 61.162.230.31 http://www.265.com

O1 - Hosts: 61.162.230.31 265.com

O1 - Hosts: 61.162.230.31 http://www.9991.com

O1 - Hosts: 61.162.230.31 9991.com

O1 - Hosts: 61.162.230.31 http://www.v111.com

O1 - Hosts: 61.162.230.31 http://www.gjj.cc

O1 - Hosts: 61.162.230.31 http://www.9505.com

O1 - Hosts: 61.162.230.31 9505.com

O1 - Hosts: 61.162.230.31 http://www.7939.com

O1 - Hosts: 61.162.230.31 7939.com

O1 - Hosts: 61.162.230.31 59.34.148.98

O1 - Hosts: 61.162.230.31 about:blank

O1 - Hosts: 218.201.94.20 down.Virussky.com

O1 - Hosts: 218.201.94.20 60.191.60.108

O1 - Hosts: 218.201.94.20 219.153.20.209

y tienes muchas cosas ....sigue estos pasos que te dare...es con el spybot version 1.4 recien actualizado ...ok...

1.- Enciende tu computadora en modo seguro, y deshabilita Restaurar Sistema.

2.- Spybot debe estar actualizado.

3.- Abre tu Spybot …sigue estos pasos:

a).- en el menú modo toma la opción avanzado.

b).- entras en la pestaña herramientas

c).- del lado derecho te aparecerán varias opciones, habilitas todas

d).- después entras a información de desinstalación y vas uno por uno buscando programas que creas que no haz instalado o programas que pueden llevarte a que sea lenta la computadora o tenga fallas, como toolsbars, programas gratuitos para mejorar el puntero del Mouse, emoticons, etc…

e).- También debes eliminar cadenas de programas que están solas o que no hagan referencia a un programa especifico.

Ejemplo: mxhsjxhsga1237493021%dffg$$$hdhdhsjs

f).-Después entras en Inicio de sistemas

g:- Ahí veras a todos los programas que se cargan al comenzar Windows…de lado derecho hay una imagen como un pequeño teclado dale clic para que se abra una ventana…y ahora iras de arriba hacia abajo o inversa…chécando uno por uno cada archivo y ayudándote con la información que te sale lado derecho donde dice base de datos iras haciendo lo siguiente:

1.- deshabiltar todas las que te digan NO NECESARIO…

2.- Eliminar todas las que te digan : virus, troyano, innecesario, etc.

3.-en caso de que no te salga información sobre un programa, debes de ver de que programa es, si vez que es un programa conocido pues no lo deshabilites, en la parte de abajo hay unos archivos que dicen WINLOGON esos no los deshabilites (en caso de tenerlos)

h).- de ahí te iras a la opción Partes Internas del Sistemas y oprimes la opción comprobar y si te sale algo en la ventana de abajo le das reparar los problemas seleccionado y le das borrar a todos.

i).- de ahí te vas a la opción BHOs y eliminas las cadenas que no están en verde

j).- de ahí también el mismo procedimiento a la siguiente opción ActiveX

y de ahí corres el spybot y eliminas todo lo que te salga y inmunizas….

nos dices como te fue.....

GuisheSalou · Mensaje por **GuisheSalou** » 05 Oct 2006, 22:35

hola, gracias por contestar, he exo todos los pasos pero cuando acabo ke revisa spy bot todo, encuentra dos archivos imposibles de eliminar, dice ke estan grabados en memoria, y me dice ke reinicie y ejecute antes ke todo, lo hago pero es imposible no hay manera de kitarlo y tb he exo el log nuevo del hijack this, en fin los archivos ke no hay manera de elimnar son estos:

Cnsmin.dll

CnsHook.dll

estan en la carpeta windows downloads creo, los he intentado elimnar y e simposible

y aki va el nuevo log ke parece casi igual se han vuelto a poner los mismos de antes...

Logfile of HijackThis v1.99.1

Scan saved at 22:33:38, on 05/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\WINLOGON.EXE

C:\Documents and Settings\HP_Propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.4199.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.4199.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.4199.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe 1

F3 - REG:win.ini: load=C:\PROGRA~1\svhost32.exe

O1 - Hosts: 125.91.1.20 localhost

O1 - Hosts: 125.91.1.20 http://www.7322.com

O1 - Hosts: 125.91.1.20 http://www.5566.net

O1 - Hosts: 125.91.1.20 http://www.v111.com

O1 - Hosts: 125.91.1.20 http://www.gjj.cc

O1 - Hosts: 125.91.1.20 http://www.hao123.com

O1 - Hosts: 125.91.1.20 hao123.com

O1 - Hosts: 125.91.1.20 http://www.265.com

O1 - Hosts: 125.91.1.20 265.com

O1 - Hosts: 125.91.1.20 http://www.9991.com

O1 - Hosts: 125.91.1.20 9991.com

O1 - Hosts: 125.91.1.20 http://www.v111.com

O1 - Hosts: 125.91.1.20 http://www.gjj.cc

O1 - Hosts: 61.162.230.31 http://www.9505.com

O1 - Hosts: 61.162.230.31 9505.com

O1 - Hosts: 61.162.230.31 http://www.7939.com

O1 - Hosts: 61.162.230.31 7939.com

O1 - Hosts: 61.162.230.31 59.34.148.98

O1 - Hosts: 61.162.230.31 about:blank

O1 - Hosts: 218.201.94.20 down.Virussky.com

O1 - Hosts: 218.201.94.20 60.191.60.108

O1 - Hosts: 218.201.94.20 219.153.20.209

O1 - Hosts: 61.141.31.11 forum.ikaka.com

O1 - Hosts: 61.141.31.11 bbs.360safe.com

O1 - Hosts: 61.141.31.11 http://www.360safe.com

O1 - Hosts: 61.141.31.11 http://www.piaoxue.com

O1 - Hosts: 61.141.31.11 61.129.58.12

O1 - Hosts: 61.141.31.11 forum.jiangmin.com

O1 - Hosts: 61.141.31.11 luosoft.com

O1 - Hosts: 61.141.31.11 post.baidu.com/f?kw=%B9%B2%BD%A8hao123

O1 - Hosts: 61.141.31.11 post.baidu.com/f?kw=%B2%A1%B6%BE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll

O3 - Toolbar: Vista de HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Archivos de programa\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: ÑÅ»¢ÖúÊÖ - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\ARCHIV~1\Yahoo!\ASSIST~1\Assist\yasbar.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Archivos de programa\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [ccApp] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NAV CfgWiz] "c:\Archivos de programa\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"

O4 - HKLM\..\Run: [IS CfgWiz] c:\Archivos de programa\Archivos comunes\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\McAfee.com\Agent\McUpdate.exe

O4 - HKLM\..\Run: [MCAgentExe] C:\ARCHIV~1\McAfee.com\Agent\McAgent.exe

O4 - HKLM\..\Run: [run] C:\WINDOWS\system32\rundll32.exe rsrc.dll s

O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe

O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE

O4 - HKCU\..\Run: [updatereal] C:\WINDOWS\realupdate.exe other

O4 - HKCU\..\Run: [msnnt] C:\WINDOWS\winampc.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: ???? - res://C:\ARCHIV~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246

O8 - Extra context menu item: Ìí¼Óµ½ÑÅ»¢¶©ÔÄ(&Y) - res://C:\ARCHIV~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: (no name) - {6354ABE6-05F1-49ed-B850-E423120EC338} - http://cn.widget.yahoo.com/index.htm?source=Cns (file missing)

O9 - Extra button: Instant Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [!CNS] Chinese keywords

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Performance Moniter (MOVEESS) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL.EXE (file missing)

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Network Logons (NetWorkLogons) - Unknown owner - rundll32.exe (file missing)

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Windows Desktop Multimedia (ntkrnl) - Unknown owner - C:\WINDOWS\SYSTEM32\ntkrnl.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - c:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

novatillo · Mensaje por **novatillo** » 05 Oct 2006, 23:03

Prueba con elistara y elitriip y traas lanzarlos y reiniciar posteas el contenido de C:/infostat.txt

ELISTARA

http://www.zonavirus.com/descargas/elistara.asp

ELITRIIP

http://www.zonavirus.com/descargas/elitriip.asp

Saludos.

GuisheSalou · Mensaje por **GuisheSalou** » 05 Oct 2006, 23:13

hola ya lo he escrito arriba, elitrip arranca y me borra un gusano pero elistar A no... se keda en recuperacion del sistema o algo asi...

desde msdos lo puedo hacer no? necesito ayuda en serio ke solo son esos 2 archivos pero bufff no hay manera y por ms dos no controlo...

gracias por contestarmeee en serio no se ke hacer

Mensaje por **msc hotline sat** » 06 Oct 2006, 05:13

Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:

F3 - REG:win.ini: load=C:\PROGRA~1\svhost32.exe

O1 - Hosts: 125.91.1.20 localhost

O1 - Hosts: 125.91.1.20 http://www.7322.com

O1 - Hosts: 125.91.1.20 http://www.5566.net

O1 - Hosts: 125.91.1.20 http://www.v111.com

O1 - Hosts: 125.91.1.20 http://www.gjj.cc

O1 - Hosts: 125.91.1.20 http://www.hao123.com

O1 - Hosts: 125.91.1.20 hao123.com

O1 - Hosts: 125.91.1.20 http://www.265.com

O1 - Hosts: 125.91.1.20 265.com

O1 - Hosts: 125.91.1.20 http://www.9991.com

O1 - Hosts: 125.91.1.20 9991.com

O1 - Hosts: 125.91.1.20 http://www.v111.com

O1 - Hosts: 125.91.1.20 http://www.gjj.cc

O1 - Hosts: 61.162.230.31 http://www.9505.com

O1 - Hosts: 61.162.230.31 9505.com

O1 - Hosts: 61.162.230.31 http://www.7939.com

O1 - Hosts: 61.162.230.31 7939.com

O1 - Hosts: 61.162.230.31 59.34.148.98

O1 - Hosts: 61.162.230.31 about:blank

O1 - Hosts: 218.201.94.20 down.Virussky.com

O1 - Hosts: 218.201.94.20 60.191.60.108

O1 - Hosts: 218.201.94.20 219.153.20.209

O1 - Hosts: 61.141.31.11 forum.ikaka.com

O1 - Hosts: 61.141.31.11 bbs.360safe.com

O1 - Hosts: 61.141.31.11 http://www.360safe.com

O1 - Hosts: 61.141.31.11 http://www.piaoxue.com

O1 - Hosts: 61.141.31.11 61.129.58.12

O1 - Hosts: 61.141.31.11 forum.jiangmin.com

O1 - Hosts: 61.141.31.11 luosoft.com

O1 - Hosts: 61.141.31.11 post.baidu.com/f?kw=%B9%B2%BD%A8hao123

O1 - Hosts: 61.141.31.11 post.baidu.com/f?kw=%B2%A1%B6%BE

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll

O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\RavMonE.exe

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32

O4 - HKLM\..\Run: [run] C:\WINDOWS\system32\rundll32.exe rsrc.dll s

O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe

O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE

O4 - HKCU\..\Run: [updatereal] C:\WINDOWS\realupdate.exe other

O4 - HKCU\..\Run: [msnnt] C:\WINDOWS\winampc.exe

O9 - Extra button: (no name) - {6354ABE6-05F1-49ed-B850-E423120EC338} - http://cn.widget.yahoo.com/index.htm?source=Cns (file missing)

O9 - Extra button: Instant Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)

O23 - Service: Windows Desktop Multimedia (ntkrnl) - Unknown owner - C:\WINDOWS\SYSTEM32\ntkrnl.exe

y envienos muestras para analizar:

C:\WINDOWS\DOWNLO~1\CnsHook.dll

C:\WINDOWS\RavMonE.exe

C:\WINDOWS\DOWNLO~1\CnsMin.dll

rsrc.dll

C:\Program Files\Microsoft\svhost32.exe

C:\WINDOWS\WINLOGON.EXE

C:\WINDOWS\realupdate.exe

C:\WINDOWS\winampc.exe

C:\ARCHIV~1\Yahoo!\ASSIST~1\Assist\yasbar.dll

C:\ARCHIV~1\Yahoo!\ASSIST~1\Assist\yrss.dll

C:\WINDOWS\SYSTEM32\ntkrnl.exe

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saudos

ms, 6-10-2006

GuisheSalou · Mensaje por **GuisheSalou** » 06 Oct 2006, 17:27

consegui eliminar gran parte de la basura ke tenia pero siempre se me keda un archivo por ahi ke es imposible

consegui arrancar elistara y dice ke el troyano se llama Tfactory... y ke reinicie para eliminarlo, pero siempre ke reinicio no se elimina porke siempre esta activo, y hasta esta activo en modo a pruebas.tenia ya desactivado restaurar sistema y nada.. diosss solo falta este y ya esta... ke puedo hacer?

novatillo · Mensaje por **novatillo** » 06 Oct 2006, 17:59

Postea el contenido de C;/infosat.txt que es un documento que crea elistara a ver que dice.

Saludos

Mensaje por **msc hotline sat** » 06 Oct 2006, 18:43

Sabe lo que ha ido a pillar !?! La fabrica de "troyanos" mas numerosa que existe, es un "FAKE ALERT" (falsa alerta) que le quiere hacer comprar el "antivirus" SOLDIER, a base de falsas detecciones.

Con la ultima version, del ELISTARA lo controlamos, pero no se alarme cuando vea en el infosat la vantudad de detecciones...

Arranque en modo seguro, lance el ultimo ELISTARA y mos postea el C:\infosat.txt , gracias

saludos

ms, 6-10-2006

no se ke virus es ayudaaa...

no se ke virus es ayudaaa...

no se acaba esto joee..