A ver si me podeis ayudar (SOLUCIONADO)

[emmataru]

Despues de intentarlo todo, segun las indicaciones de este foro, no he conseguido solucionar mi problema. Resulta que tengo un tipo de trojano que afecta al teclado y no puedo poner tildes porque me sale duplicada: ´´ y tb me sale duplicado esto :^^ . Despues de escanear mi pc con el antivirus me salio que tenia un trojan horse dropper. Agent BMH. He conseguido borrarlo pero el problema persiste.



Aqui os dejo mi log



Logfile of HijackThis v1.99.1

Scan saved at 3:18:02, on 24/10/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\SYSTEM32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\System32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\SYSTEM32\Ati2evxx.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

D:\WINDOWS\System32\hphmon04.exe

D:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

D:\ARCHIV~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE

D:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

D:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

D:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

D:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

D:\Archivos de programa\iTunes\iTunesHelper.exe

D:\Archivos de programa\QuickTime\qttask.exe

D:\Archivos de programa\Quick GPS Connection Data Download Manager\DesktopLtoManager.exe

D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

D:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

D:\Archivos de programa\WinZip\WZQKPICK.EXE

D:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

D:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

D:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

D:\WINDOWS\system32\ZONELABS\vsmon.exe

D:\Archivos de programa\iPod\bin\iPodService.exe

D:\WINDOWS\System32\HPHipm11.exe

D:\WINDOWS\System32\wuauclt.exe

D:\Archivos de programa\Mozilla Firefox\firefox.exe

D:\Ana1\descargas1\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] D:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [HPHmon04] D:\WINDOWS\System32\hphmon04.exe

O4 - HKLM\..\Run: [HPHUPD04] "D:\Archivos de programa\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [TkBellExe] "D:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Camera Detector] D:\ARCHIV~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun

O4 - HKLM\..\Run: [AdaptecDirectCD] D:\Archivos de programa\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [PCLEPCI] D:\ARCHIV~1\PINNACLE\PPE\ppe.exe

O4 - HKLM\..\Run: [MCUpdateExe] D:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [VSOCheckTask] "d:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "d:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] D:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [iTunesHelper] "D:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "D:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Lto Manager] "D:\Archivos de programa\Quick GPS Connection Data Download Manager\DesktopLtoManager.exe"

O4 - HKLM\..\Run: [Zone Labs Client] D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [startkey] D:\WINDOWS\System32\algr.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: WinZip Quick Pick.lnk = D:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: Microsoft Office.lnk = D:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://anapeta.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123698810656

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{45CDF80E-D6AA-404B-A8BE-EB419361228D}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Servicio de Index Server (CiSvc) - Unknown owner - D:\WINDOWS\system32\cisvc.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - D:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPH11 - HP - D:\WINDOWS\System32\HPHipm11.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZONELABS\vsmon.exe



Gracias

[emmataru]

Mi gozo en un pozo, leyendo en este foro, ponia alguien que si al iniciar el pc en modo seguro no habia ningun problema, no era tema de virus ni trojanos. Total que curioseando descubrí que mirando en los procesos aparecía como en ejecución el firefox (y en ese momento no lo tenía abierto), le daba a terminar proceso y el problema desaparecía (como podeis ver puedo poner tildes). Así que decido borrar el firefox de todas las maneras posibles, borrandolo desde el panel de control y luego eliminando los registros y lo que quedase de archivos ocultos en los documents and settings, reinicio para ver si se ha solucionado el problema, pero..... aunque ya no sale firefox en los procesos, la doble ´´ sigue apareciendo.

[msc hotline sat]

Ante todo actualiza los parches de microsoft lanzando un wiindowsupfate. Te faltan todos los parches del SP2 y posteriores !!!


[quote]
Platform: Windows XP SP1 (WinNT 5.01.2600)



MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
[/quote]

Luego, la doble tilde en lugar del acento puede deberse a cualquier aplicacion, malware o no, cuya programacion no haya tenido en cuenta el idioma castellano



Hay tres programas que no conocemos, Envienoslos y veremos si es debido a ellos:



D:\ARCHIV~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE



D:\WINDOWS\System32\algr.exe



D:\Archivos de programa\Quick GPS Connection Data Download Manager\DesktopLtoManager.exe



Tras recibirlas las analizaremos e informaremos





Recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 27-10-2006

[emmataru]

Buenas!

Después de ponerme estos tres programas. Vi que el único que no sabia de donde venía era el algr.exe, así que le pase un antivirus online y me detecto que tenia un trojan.win32.pakes en ese archivo, lo borré y ya se me solucionó el problema. Desde entonces el ordenador parece que va bien.



Gracias

[msc hotline sat]

pUES DANDO POR SOLUCIONADO EL tEMA., PROCEDEMOS A CERRARLO



SALUDOS



MS. 2-11-2006