¿Como elimino este virus de mi ordenador? ( (SOLUCIONADO)

[Daphne]

Me localizó hace dos dias el Norton dos virus que me los han metido en cuarentena. Necesito que me ayuden a eliminarlo totalmente de mi ordenador. Les pego los logs del Norton, del Ewido y del KASPERSKY. Gracias.



LOG NORTON



[b]setup.exe

C:\DOCUME~1\Usuario\CONFIG~1\Temp\~AceTemp\PC autoescuela_DATA_BECKER + Actualizacion updated-fixed 07-2006

Copia de respaldo de un archivo infectado 104 Kb W32.Ecup

SYSTEM USUARIO PEPINTO

miércoles, 08 de noviembre de 2006 17:52:32

No enviado[/b]



[b]setup.exe

D:\Emule\Terminados\PC autoescuela_DATA_BECKER + Actualizacion updated-fixed 07-2006

Copia de respaldo de un archivo infectado 104 Kb W32.Ecup

SYSTEM USUARIO PEPINTO

miércoles, 08 de noviembre de 2006 17:54:20

No enviado[/b]





LOG DE EWIDO



[b]Name: TrackingCookie.Tribalfusion

Path: C:\Documents and Settings\Usuario\Cookies\@tribalfusion[2].txt

Risk: Medium[/b]



[b]Name: Logger.Agent.pd

Path: C:\System Volume Information\_restore{2B9EF995-07BA-4492-ADCE-230BA6A96FA3}\RP296\A0133270.exe

Risk: High[/b]



[b]Name: Not-A-Virus.VirTool.Win32.AvSpoffer.a

Path: D:\System Volume Information\_restore{2B9EF995-07BA-4492-ADCE-230BA6A96FA3}\RP287\A0131885.exe

Risk: Low[/b]



LOG KASPERSKY



Thursday, November 09, 2006 11:57:59 PM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.83.0

Kaspersky Anti-Virus database last update: 9/11/2006

Kaspersky Anti-Virus database records: 225993





Scan Settings

Scan using the following antivirus database standard

Scan Archives true

Scan Mail Bases true



Scan Target My Computer

A:\

C:\

D:\

E:\

F:\



Scan Statistics

Total number of scanned objects 53684

Number of viruses found 1

Number of infected objects 2 / 0

Number of suspicious objects 0

Duration of the scan process 01:43:13



Infected Object Name Virus Name Last Action

C:\Archivos de programa\Archivos comunes\Symantec Shared\AntiSpam\Log\Spam.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcrst.dll Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EPERSIST.DAT Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDALRT.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDCON.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDDBG.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDFW.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDIDS.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSYS.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBConfig.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBDebug.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBDetect.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBNotify.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBRefr.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetCfg.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetCfg2.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetDev.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetLoc.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSetUsr.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSMNot.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSMReg.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBSMRSt.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBStHash.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBStMSI.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\BBValid.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\SPPolicy.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\SPStart.log Object is locked skipped



C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\LOGS\SPStop.log Object is locked skipped



C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\AVApp.log Object is locked skipped



C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\AVError.log Object is locked skipped



C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\AVVirus.log Object is locked skipped



C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\Savrt\0576NAV~.TMP Object is locked skipped



C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\Savrt\0950NAV~.TMP Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\Confid.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\Content.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\Privacy.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\Restrict.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\settings.dat Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Symantec\Common Client\WebHist.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Symantec\HPPAppActivity.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Symantec\HPPHomePageActivity.log Object is locked skipped



C:\Documents and Settings\All Users\Datos de programa\Symantec\LiveUpdate\2006-11-09_Log.ALUSchedulerSvc.LiveUpdate Object is locked skipped



[b]C:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\1D557528.exe Infected: P2P-Worm.Win32.Kapucen.b skipped



C:\Documents and Settings\All Users\Datos de programa\Symantec\Norton AntiVirus\Quarantine\1EB62BA4.exe Infected: P2P-Worm.Win32.Kapucen.b skipped [/b]



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped



C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de internet\Content.IE5\index.dat Object is locked skipped



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\Usuario\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\Usuario\Configuración local\Historial\History.IE5\index.dat Object is locked skipped



C:\Documents and Settings\Usuario\Configuración local\Historial\History.IE5\MSHist012006110920061110\index.dat Object is locked skipped



C:\Documents and Settings\Usuario\Configuración local\Temp\Perflib_Perfdata_d20.dat Object is locked skipped



C:\Documents and Settings\Usuario\Cookies\index.dat Object is locked skipped



C:\Documents and Settings\Usuario\Datos de programa\Symantec\PendingAlertsQueue.log Object is locked skipped



C:\Documents and Settings\Usuario\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\Usuario\NTUSER.DAT.LOG Object is locked skipped



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked skipped



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped



[b]C:\System Volume Information\_restore{2B9EF995-07BA-4492-ADCE-230BA6A96FA3}\RP297\change.log Object is locked skipped [/b]



C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped



C:\WINDOWS\SoftwareDistribution\EventCache\{96E38EBE-A459-45AB-BA5E-5CA9F577F909}.bin Object is locked skipped



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped



C:\WINDOWS\Sti_Trace.log Object is locked skipped



C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped



C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\default Object is locked skipped



C:\WINDOWS\system32\config\default.LOG Object is locked skipped



C:\WINDOWS\system32\config\SAM Object is locked skipped



C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\SECURITY Object is locked skipped



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped



C:\WINDOWS\system32\config\software Object is locked skipped



C:\WINDOWS\system32\config\software.LOG Object is locked skipped



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped



C:\WINDOWS\system32\config\system Object is locked skipped



C:\WINDOWS\system32\config\system.LOG Object is locked skipped



C:\WINDOWS\system32\h323log.txt Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped



C:\WINDOWS\Tasks\SCHEDLGU.TXT Object is locked skipped



C:\WINDOWS\wiadebug.log Object is locked skipped



C:\WINDOWS\wiaservc.log Object is locked skipped



C:\WINDOWS\WindowsUpdate.log Object is locked skipped



D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped



Scan process completed.

[leo_shade]

me ekivoke

[Daphne]

Supuestamente parecia que lo habia limpiado pero veo que no. He escaneado con otros antivirus y sigue apareciendo. Necesito ayuda.



Fichero analizado

Estado



C:\System Volume Information\_restore{2B9EF995-07BA-4492-ADCE-230BA6A96FA3}\RP297\A0133542.exe=>(Quarantine-2)

Infectado con: MemScan:Win32.Worm.P2P.Puce.B



C:\System Volume Information\_restore{2B9EF995-07BA-4492-ADCE-230BA6A96FA3}\RP297\A0133542.exe=>(Quarantine-2)

La desinfección ha fallado

[msc hotline sat]

Debe desactivar la restauracion de sistema para eliminar virus del RESTORE !!!



Tras ello, arranque en modo seguro y el mismo antivirus podra eliminarlos



Ello ya se indica en el tutorial antivirus...





TUTORIAL ANTIVIRUS

https://foros.zonavirus.com/viewtopic.php?t=5370



saludos



ms, 10-11-2006

[Daphne]

Hola de nuevo. Ya hice que lo me has dicho. A modo seguro el anivirus Norton que es el que tengo instalado no me detecto nada. Tambien restauré sistema. He pasado varios antivirus online y de momento ninguno me da aviso que permanezca el virus. Pero el pc me va muy lento. El programa jv16 Power Tools que siempre me ha funcionado bien y que vale para limpiar registros, cuando lo abro me sale con unos carácteres raros.

Instalé hace poco un programa llamado anti-keylogger porque el antitroyano me detecto un keylogger. Este programa tenia un período de tiempo, cuando caducó lo desinstalé, pero parece ser que algo se ha quedado y sospecho que es lo que me ha desconfigurado el limpiador de registro y lo que me esta relentizando el PC. Cuando cierro sesión o reinicio antes de arrancar el windows me sale un anuncio en la parte inferior derecha del monitor con este mensaje:



THIS COMPUTER IN PROTECTED BY ANTI-KEYLOGGER



He limpiado todos los registros relacionados con este programa pero no hay manera que al reiniciar me salga esto.



Me puedes ayudar? Gracias

[msc hotline sat]

Posteanos el log del HJT y buscaremos los restos de las claves de este ANTIKEYLOGGER:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, infornaremos



saludos



ms, 11-11-2006

[Daphne]

Aqui tienes el log. Gracias



Logfile of HijackThis v1.99.1

Scan saved at 5:22:56, on 12/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\mIRC\mirc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\mesias7.4\Mesias.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\Luperia\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.mcafee.com

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142028178453

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4891/mcfscan.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

[msc hotline sat]

Tiene un proceso llamado Mesias.exe que ni sabemos lo que es.



Si no lo sabe tampoco, renombre la extension de dicho fichero a .VIR y tras reiniciar nos comenta el resultado, gracias



saludos



ms, 12-11-2006

[Daphne]

El Mesias es un programa parecido al Ircap y es para entrar el IRC, ese programa lo tengo controlado, vamos que lo he instalado yo. ¿Hay alguna otra entrada sospechosa que haga referencia al anti-keylogger? Gracias

[msc hotline sat]

Del log lo que puedes borrar para mejorar velocidad es:



O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe



y lanza el ELITEMPO:





ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp



tras elio reinicia y comentanos el resultado, gracias



saludos



ms, 12-11-2006

[Daphne]

Ok haré lo que me dices. Pero dime a que pertenece LogitechVideoTray?. Logiteck es la marca de mi cam. Te lo comento porque en INICIO tengo dos cosas sobre esto que me me dices que quite por eso te lo pregunto, y no sé si necesariamente tienen que estar en el inicio o no. Aqui te pego las cosas que tengo en inicio.



Atipta, C:\archivos De Programa\ati Technologies\ati Control Panel\atiptaxx.exe, ATI Desktop Control Panel, HKEY_LM\Run



CcApp, "c:\archivos De Programa\archivos Comunes\symantec Shared\ccapp.exe", N/A, HKEY_LM\Run



Ctfmon.exe, C:\windows\system32\ctfmon.exe, CTF Loader, HKEY_CU\Run



LogitechVideoRepair, C:\archivos De Programa\logitech\video\isstart.exe,

Logitech QuickCam Startup Application, HKEY_LM\Run



LogitechVideoTray, C:\archivos De Programa\logitech\video\logitray.exe, ImageStudio Tray Application, HKEY_LM\Run

[msc hotline sat]

Lo otro indicado es parte del Norton, dejalo, y dinos si con el ELITEMPO ha mejorado





Sobre la clave indicada, de ella la aplicacion dice:


[quote]
LogiTray.exe:



Is a Logitech Image Studio system tray applet. Not necessary. Removing this entry will free up a small amount of system resources.


[/quote]

pero puedes dejarla tambien, solo lo decía para intentar mejorar la velocidad...



saludos



ms, 13-11-2006

[Daphne]

Hola otra vez. He quitado de inicio esto:



LogiTray.exe:



Is a Logitech Image Studio system tray applet. Not necessary. Removing this entry will free up a small amount of system resources



También he pasado el ELITEMPO y he reiniciado, no sé parece que cuando abro las páginas del explorer va más rápido, pero realmente he notado poco.



Sobre el aviso que me sale al apagar el PC y al reiniciarlo del:



This computer in protected by anti-keylogger



me sigue saliendo, sale antes de reiniciarse windows es como si estuviera en el arranque, además anteriormente te comente que el jv16 Power Tools que es un limpiador de registros se me habia desconfigurado, pues ahora tambien esta desconfigurado el CCleaner, es como si hubiera algo en el PC que me está inutilizando los programas que son herramientas de limpieza del PC.



Gracias

[msc hotline sat]

Es posible que sea lanzado desde el registro, en una zona no propia a los virusm de las muchisimas que no muestra el HJT.



Puedes mirar con el BUSCAREG de buscar la palabra keylogger y si la encuentra, pulsar doble click sobre ella y presentarña la pagima donde ofrece eliminar la clave que la contiene, la cual ofrece eliminar si se quiere, aunque ello ha de hacerse una vez se confirme que es la clave correspondiente al mensaje en cuestion



Lo pruebas y nos dices el resultado:



[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]







saludos



ms, 13-11-2006

[Daphne]

Nada msc hotline sat que no hay forma de encontrarla. He pasado el buscador de registro y ni rastro del anti-keylogger. Lo he buscando invirtiendo las letras de mil formas, pero ni rastro de ningún registro que haga referencia a este maldito programa. Si pongo Key o logger por separado si me salen entradas de registro, pero no he tocado nada porque supongo que serán de otras cosas.

Mira he iniciado el PC a modo de prueba y los programas de limpiadores que no me funcionan iniciando normal, me funcionan perfectamente a modo de prueba. Me temo que hay un proceso cuando inicio el PC que está bloqueandolos.

Me gustaria que me dijeras como puedo copiar los procesos que tengo activos para podertelos pegar y que me indiques si hay alguno sospechoso. Desde el administrador de tareas no tengo la opción de poder copia y pegar el listado de procesos.



Gracias

[msc hotline sat]

Los procesos que tienes en uso son:





Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\mIRC\mirc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\mesias7.4\Mesias.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Documents and Settings\Luperia\Escritorio\HijackThis.exe





y no hay nada de keylogger, aparte de los del sistema, los drivers de audio, video e impresora y los de symantec, hay "tu"mesias, el MSN. el navegador I.E..el de chat MIRC, el debuguer MDM, rodo lo cual es normal...



Puede que al cargar alguno de ellos, que son bien conocidos, cargues claves que conlleven alguna restriccion, como los BHO (Browse Helper Object que se lanzan cuando se abre el navegador I.E.), los cuales estan indicados en los O2 del HJT:



O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll





Lo que dices de como ver los procesos que estan en uso en modo seguro, los veras lanzandpo el HJT arrancando en modo seguro, pero la diferencia son los que te he dicho.



Quizas la DLL SSV.DLL qie es propia de usarla aplicaciones inglesas...:



http://www.hijackfree.org/es/processdetails/?id=881



aunque no sea malware, claro



Podrias probar de renoimbrarla a .VIR y reiniciar, a ver que pasa, siempre estas a tiempo de volverla a renombrar a DLL



saludos



ms, 13-11-2006

[Daphne]

He renombrado esa DLL ahora la entrada en el HijackThis queda asi:



C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll (file missing)



El arranque del PC va muy lentito, algo hay que en el administrador de tareas el rendimiento el uso de la CPU se me pone a 100% y sin tener nada abierto, por eso intento abrir el explorer y me tarda tanto, lo que sea hace que baje el rendimiento de la máquina al rato y ya deja de ir lento el PC.

[msc hotline sat]

Pues entonces vuelvela a renombrar a DLL si da problemas sin ello.



Lo que no has dicho es si el mensaje del anti-keylogger persiste, para descartarlo del todo o no.



saludos



ms, 14-11-2006

[Daphne]

El mensaje del anti-keylogger persiste al cerrar el pc y al arrancar el pc.

Yo creo que si a modo de prueba los programas me funcionan bien y al iniciar a modo normal no, es que hay algun proceso que hace que los programas se desconfiguren.



He estado mirando uno a uno los procesos que están activos en el administrador de tareas y necesito que me informes si es correcto donde están situados estos ejecutables.





MSMSGS.EXE



Este proceso es del msn Messenger es normal que el proceso esté activo sin tener el Messenger abierto?



C:\Archivos de programa\Messenger

C:\WINDOWS\$NtUninstallKB887472$

C:\WINDOWS\$hf_mig$\KB887472\SP2QFE



[b]ATENCIÓN: msmsgs.exe también es el nombre que usa para camuflarse el virus gusano W32.Alcarys.B@mm worm. Si la ruta de su proceso es la siguiente: "C:\Archivos de Programa\Messenger\msmsgs.exe" Se trata del proceso inofensivo. Si por el contrario se trata de: "C:\msmsgs.exe" entonces se trata del proceso malicioso[/b]





SPOOLSV.EXE



C:\WINDOWS\system32

C:\WINDOWS\$NtUninstallKB896423$

C:\WINDOWS\$hf_mig$\KB896423\SP2QFE



[b]ATENCIÓN: spoolsv.exe también es el nombre con el que se camufla el virus troyano Backdoor.Ciadoor.B. Si el proceso en cuestión se encuentra dentro del directorio System32 se trata del proceso inofensivo de Windows, si por el contrario se encuentra en cualquier otra localización (incluyendo el directori raiz de Windows) sería el virus[/b]



Dentro de la carpeta de windows tengo como unas 90 carpetas con nombres como donde están metidos estos dos archivos que te digo \$NtUninstallKB896423$ lo que cambia es la numeración ¿Esto es normal?.



Esa información que te marco en negrilla la he cogido de una página de información de procesos.



Gracias

[msc hotline sat]

Pues tu te lo guisas y tu te lo comes ! Indicas rutas inofensivas de donde estan los ficheros segun lainformacion, no ha lugar ...



y los C:\WINDOWS\$NtUninstallKB887472$ se supone que son los datos de desinstalacion de los diferentes parches de microsoft KB..., por esto tienes tantos.



Y la frase de marras puede haber sido grabada hasta el sectores reservados de particion, de donde te seria un poco dificil sacarla, por ello si no es mas que el texto...



Pero si se te ralemyoza, ha de ser por uno de los ficheros que se cargan en modo normal Mira de reducir residentes en el inicio, sean o no maliciosos.



saludos



ms, 14-11-2006

[Daphne]

Solo te he pedido información sobre si es correcto o no la ubicación de esos archivos, no entiendo, si entendiera quizás no estaria preguntando en un foro. Lllevo ya dias con el problema y ya busco hasta en lo imbuscable, como dices tú ya veo virus donde posiblemente no los haya, pero supongo que sigo buscando porque el PC no va bien y porque cada vez que reinicio el ordenador me sale algo en el arranque que no debia de estar.

Asi que no sé, como moderador este foro, dime que hacemos con el tema si lo damos por cerrado :roll:



Si es para cerrar el tema, te agradezco todo el interés que has puesto en mi problema, y perdona por mi ignoracia.



Gracias

[msc hotline sat]

Nos gusta solucionar los problemas, no dejarlos a medias, si es posible...



Por si tuvieras un RootKit que ocultara claves, procesos y ficheros al respecto, posteanos log del HJT pero habiendo arrancado en modo seguro, para evitar su accion en el caso que lo hubiera (Rootkit)



Si, no siempre son visibles a simple vista ...Llevo casi 20 años durmiendo con ellos y alguno que se resiste inicialmente, pero acaba cayendo !



saludos



ms, 14-11-2006

[Daphne]

Te envio el log del HijackThis a modo seguro. Gracias nuevamente.





Logfile of HijackThis v1.99.1

Scan saved at 19:49:14, on 14/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Usuario\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.mcafee.com

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1142028178453

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4891/mcfscan.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

[flacoroo]

sigue esto.....si no tienes el spybot bajalo de esta web en la pagina principal en descarga la version 1.4



1.- Enciende tu computadora en modo seguro, y deshabilita Restaurar Sistema.



2.- Spybot debe estar actualizado.



3.- Abre tu Spybot …sigue estos pasos:



a).- en el menú modo toma la opción avanzado.

b).- entras en la pestaña herramientas

c).- del lado derecho te aparecerán varias opciones, habilitas todas

d).- después entras a información de desinstalación y vas uno por uno buscando programas que creas que no haz instalado o programas que pueden llevarte a que sea lenta la computadora o tenga fallas, como toolsbars, programas gratuitos para mejorar el puntero del Mouse, emoticons, etc…

e).- También debes eliminar cadenas de programas que están solas o que no hagan referencia a un programa especifico.

Ejemplo: mxhsjxhsga1237493021%dffg$$$hdhdhsjs



f).-Después entras en Inicio de sistemas

g:- Ahí veras a todos los programas que se cargan al comenzar Windows…de lado derecho hay una imagen como un pequeño teclado dale clic para que se abra una ventana…y ahora iras de arriba hacia abajo o inversa…chécando uno por uno cada archivo y ayudándote con la información que te sale lado derecho donde dice base de datos iras haciendo lo siguiente:

1.- deshabiltar todas las que te digan NO NECESARIO…

2.- Eliminar todas las que te digan : virus, troyano, innecesario, etc.

3.-en caso de que no te salga información sobre un programa, debes de ver de que programa es, si vez que es un programa conocido pues no lo deshabilites, en la parte de abajo hay unos archivos que dicen WINLOGON esos no los deshabilites (en caso de tenerlos)

h).- de ahí te iras a la opción Partes Internas del Sistemas y oprimes la opción comprobar y si te sale algo en la ventana de abajo le das reparar los problemas seleccionado y le das borrar a todos.

i).- de ahí te vas a la opción BHOs y eliminas las cadenas que no están en verde

j).- de ahí también el mismo procedimiento a la siguiente opción ActiveX



y de ahí corres el spybot y eliminas todo lo que te salga y inmunizas….



nos dices como te fue....

[Daphne]

Ainssssssss me baje el spybot y me ha quitado un montón de cosas. Este programa ya lo tuve instalado pero no me bajaba bien las actualizaciones. Lo he bajado de zona virus descargas y me ha bajado un montón de actualizaciones. Me ha quitado muchas cosas pero tengo que decir y muy a pesar mio que sigue saliendo al reiniciar el mensaje que ya forma parte de mi vida:



THIS COMPUTER IN PROTECTED BY ANTI-KEYLOGGER



Esta tarde he mandado un email al soporte técnico de este programa para que me digan como quitarlo, pero no espero que me digan nada.



¡¡ESTOY DESESPERADAAA!!

[Daphne]

Necesito nuevamente vuestra ayuda, sigo buscando que es lo que hace que ese mensaje del anti-keylogger me salga al reiniciar. He buscado en el buscador de windows poniendo la palabra KEY a ver si me salia algún programa que estuviera relacionado con el anti-keylogger. Necesito que me informes si los archivos keyboard.drv (de este tengo uno en system32 y otro en system), keyboard.inf, keyboard.pnf y keyboard.sys son del sistema.

He buscado información sobre el keyboard y me indica que pertecene a un registrador de pulsaciones de teclas.



¿Me podeis verificar si esto es asi?



También tengo otra duda que ya lo indique en unas preguntas anteriores, porque el proceso del MSMSGS.EXE que pertenece al messenger nada mas reiniciar el equipo lo tengo procesando si no abro el messenger?.

He mirado en los otros ordenadores que tengo en casa, y este proceso no se pone a procesar hasta que no se ejecuta el messenger.



Perdonar si soy muy pesada, pero tengo razones para pensar que me estan controlando el PC, no es la primera vez que me han controlado remotamente, al final me voy a obsesionar tanto que voy a terminar formateando el ordenador.



Gracias

[koga]

Suponiendo que ya ha seguido los pasos indicados por flacoroo no solamente haciendo un escaneo con spybot, si no tambien el resto de las instrucciones, le recomiendo vuelva a instalar el anti-keylogger y lo desintale, luego pruebe limpiar los registros con el regseeker, paselo varias veces hasta que ya no aparesca nada.





Saludos.

[flacoroo]

en mi respuesta anterior creo que no leistes todo....concentrate en esta parte del spybot.....



[color=green]

f).-Después entras en Inicio de sistemas

g:- Ahí veras a todos los programas que se cargan al comenzar Windows…de lado derecho hay una imagen como un pequeño teclado dale clic para que se abra una ventana…y ahora iras de arriba hacia abajo o inversa…chécando uno por uno cada archivo y ayudándote con la información que te sale lado derecho donde dice base de datos iras haciendo lo siguiente:

1.- deshabiltar todas las que te digan NO NECESARIO…

2.- Eliminar todas las que te digan : virus, troyano, innecesario, etc.

3.-en caso de que no te salga información sobre un programa, debes de ver de que programa es, si vez que es un programa conocido pues no lo deshabilites, en la parte de abajo hay unos archivos que dicen WINLOGON esos no los deshabilites (en caso de tenerlos) [/color]



en esa parte encontraras el inicio del programa que te sale al principio deshabilita las opciones todas las que se encuentren de ese programa...como lo veras por que te dice la ruta de cada programa....



y asi aprovecha a deshabiliatar los demas programas que no desees que se carguen para que no se te hagan lenta tu compu.



nos dices como te fue.....

[Daphne]

Hola de nuevo, a ver si he hecho bien los deberes. Te explico:



Desde el spybot... he desinstalado programas que no me eran necesarios, pero habia muchos que no me indicaban que ruta tenian, donde estaban ubicados... y no quise quitarlos por si metia la pata. Pero los que si conocia y he visto que que podia quitar los he tenido que desinstalar a modo normal porque a modo seguro no me dejaba. Cuando he pasado el RegSeeker para limpiar los registros inservibles me he dado cuenta que hay una opción en aplicaciones instaladas que se pueden ver la aplicaciones que en su dia fueron instaladas y que se han borrado. Con el ReeSeeker las he borrado y cuando he vuelto a entrar a modo seguro al spybot... he visto que esas instalaciones que no me salian de que eran ya estaban borradas. Pero tengo 5 instalaciones que siguen sin indicarme de que son. La he buscado en el PC con el buscador y sale esta información:



EXPINST



C:\Archivos de programa\Internet Explorer\W2K

Descripción: Internet Explorer Windows 2000 Installer de Microsoft



(BRANDING)



Hacen referencia al yahoo Messenger y al Norton



ICW



Encuentra muchas cosas con este nombre y no se que es



IEREADME



C:\Archivos de programa\Internet Explorer\Uninstall Information



SEVINST.EXE



C:\Archivos de programa\Archivos comunes\Symantec Shared

Descripción: Symantec Symevent Installer



Indicarme si esto tengo que dejarlo o vale para algo



En inicio de sistema el unico ejecutable que me indicaba (virus, troyano, innecesario, etc...) ha sido el CTFMON.EXE y lo he eliminado como me indicabas.



En BHOS he quitado también cadenas que no estaban indicadas en verde y en activex lo mismo.



El PC parece que al reiniciar no va tan relentizado como antes, la verdad he quitado programas que me ocupaban mucho, pero el famoso mensaje del anti-keylogger antes de cerrar windows y antes de iniciar me sigue saliendo.

Como he comentado anteriormente he escrito al soporte técnico del anti-keylogger, me han contestado diciendo que les escriba el mensaje en inglés y asi lo he hecho, estoy esperando a ver si me contestan. Pero os diré algo, un amigo mio también instaló cuando yo lo hice el anti-keylogger y ese mensaje no le salia. Pero hoy me ha llamado diciendome que al reiniciar le ha empezado a salir, osea que es habitual que deje ese programa basura en el PC.



Bueno, decirme algo sobre esto que he hecho en el PC, si es necesario realizar algo más o no.

Y decirme algo sobre lo que preguntaba anteriormente ¿es normal que el proceso MSMSGS.EXE del messenger este procesando al reiniciar sin abrir esta aplicación?



Gracias

[koga]

Instale el anti-keylogger y lo desinstale y no me dio ningun problema, tal vez si terminase los dias de evaluacion...



En cuanto al proceso,

el archivo msmsgs.exe, es realmente el ejecutable del Messenger.. es decir el que abre el MSN Messenger,



se cataloga como virus.. si esta en la raiz... o se hace un llamado a la raiz.. y por lo general se trata del W32/Alcarsy.B, que se relaciona con redes p2p... y si fuera asi por ser un virus viejo... un antivirus lo ubiera detectado..



Asi que por ser XP, este es un archivo bàsico de la carga del sistema ya que este abre el messenger de xp que esta integrado al inicio de windows...



si deseas quitarlo solo entras a inicio--->ejecutar--->msconfig...

y en la seccion de inicio.. desactiva la opcion de esta ruta... y listo... igual puedes volver a actuvarlo desde los mismo pasos... en esta area podras ver todos los procesos que se cargan en el incio.. aun lo que no se ven en la Vista de Procesos.



De no encontrar el proceso, y si quieres todavia desinstalarlo, entonces desinstalate el messenger te paso al direccion.



entras a ejecutar copia y pega esta direccion:

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove



le das aceptar y listo acuerdate que surtira efecto hasta que reinicies tu pc ok

espero te sirva,









saludos.