mi ordenador hace cosas raras (SOLUCIONADO)

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 12 Mar 2007, 20:32

Hola
Como os lo había dicho, mi ordenador sigue haciendo cosas raras, que no sé si pueden estar relacionadas con algun spyware:

1/ En Outlook Express, mi servidor de correo entrante se cambia de forma automática y se transforma en: 127.0.0.1 cuando es pop3.ono.com
2/ También en Outlook Express, los accesos directos no funcionan.
3/ Cuando llevo navegando un rato, VirusScan Plus detecta un cambio de registro que es siempre el mismo :

Proceso: C:\Archivos de programa\Internet Explorer\iexplore.exe
Nombre proceso: Internet Explorer
Emisor proceso: Microsoft Corporation
Elementos afectados:
HKEY_USERS\S-1-5-21-2000478354-854245398-1343024091-1003\Software\Microsoft\Windows\Current Version\Internet Settings\Zones\3\1601.

VirusScan me recomienda bloquear el cambio de registro, cosa que hago, ya que no entiendo ni J.

A lo mejor os estoy molestando para nada

, pero con la cantidad de bichos que había aquí dentro me pregunto si eso no tiene algo que ver con ellos.

Un saludo

Nuker · Mensaje por **Nuker** » 12 Mar 2007, 23:00

En todo caso que sea virus lanzate estos 2 antivirus online:

AV Online:
https://www.eset.es/analisis-online/

NanoScan:
https://www.pandasecurity.com/spain/hom ... antivirus/

Nos comentas si te detecta algo, y peganos tu log de HJT, lo ejecutas en Modo Normal, abres, scan and save log file, copias contenido del bloc y lo pegas aqui, Gracias.

HJT:
http://www.zonavirus.com/descargas/tren ... ckthis.asp

Mensaje por **msc hotline sat** » 13 Mar 2007, 12:27

Pues huele a que algo se quiere introducir como modulo del I.Explore, pposteanos log del HJT:

HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

saludos
ms, 13-03-2007

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 14 Mar 2007, 10:46

Siento haber tardado tanto, pero estaba fuera.

Ninguno de los 2 antivirus me detectó nada, y tampoco Virus Scan Plus.

Aquí viene el log de HJT:

Logfile of HijackThis v1.99.1
Scan saved at 9:47:16, on 14/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe
C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe
c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Real\Player\realplay.exe
C:\Archivos de programa\Winamp\winampa.exe
c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe
C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe
C:\Archivos de programa\Larousse\EUL 2003\bin\hyperappel.exe
C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\ARCHIV~1\mcafee.com\agent\mcagent.exe
C:\Archivos de programa\SiteAdvisor\6028\SAService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\ARCHIV~1\ARCHIV~1\McAfee\EmProxy\emproxy.exe
C:\WINDOWS\system32\wuauclt.exe
c:\archivos de programa\mcafee\msc\mcupdui.exe
c:\archivos de programa\mcafee\virusscan\mcinsupd.exe
C:\Documents and Settings\costello\Mis documentos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por ONO
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.ono.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.worldonline.es"); (C:\Archivos de programa\Netscape\Users\User00\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.dll
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\ARCHIV~1\mcafee\SPAMKI~1\mcapfbho.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\archivos de programa\mcafee\virusscan\scriptcl.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RealTray] C:\Real\Player\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\ARCHIV~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\ARCHIV~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [JUGS HOLE NAME AXIS] C:\Documents and Settings\All Users\Datos de programa\Tonscdromjugshole\ThisFree.exe
O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BestPopUpKiller] C:\Archivos de programa\BestPopUpKiller\BestPopupKiller.exe /startup
O4 - HKCU\..\Run: [1 Name] C:\DOCUME~1\costello\DATOSD~1\WINDOW~1\sign great.exe
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Archivos de programa\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: hiperllamada EUL 2003.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\ARCHIV~1\mcafee\SPAMKI~1\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\ARCHIV~1\mcafee\SPAMKI~1\mcapfbho.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ven.ono.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/es/1,0,0,21/mcgdmgr.cab
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\ARCHIV~1\ARCHIV~1\McAfee\EmProxy\emproxy.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\ARCHIV~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6028\SAService.exe

Gracias por vuestra ayuda
Un saludo

Mensaje por **msc hotline sat** » 14 Mar 2007, 13:29

Elimine esta clave, que quiere acceder a una pagina que no puede abrir, quizas es el intento de conexion a Internet que dice:

Código: Seleccionar todo

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

recuerde: viewtopic.php?f=2&t=45334

saludos

ms, 14-03-2007

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 16 Mar 2007, 13:05

Lo he hecho, pero sigue apareciendo el intento de cambio de registro :cry:

Mensaje por **msc hotline sat** » 16 Mar 2007, 13:49

Puede que no sea nada virico, sino simplemente algo instalado voluntariamente...
Diganos que sabe sobre la instalacion de esta aplicacion

O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Archivos de programa\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4

No es del sistema, es una aplicacion opcional que Vd sabrá si la ha instalado ...

Es posible que sea la causa de lo que nos indica

saludos
ms, 16-03-2007

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 16 Mar 2007, 21:15

Efectivamente, lo instalé cuando me empezaron a aparecer las ventanas. Voy a desinstalarlo y ya les diré si cambia algo.

Gracias.

Por otra parte, ¿no tienen idea de cómo puedo volver a tener accesos directos que funcionen en mis mensajes recibidos? ¿Puede ser al eliminar el hyperappel dudoso que hayan dejado de funcionar?

En cuanto al servidor de correo entrante. ¿Tengo alguna forma de impedir que se cambie solo?

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 17 Mar 2007, 21:39

Desinstalado, pero sigue igual :cry:

Mensaje por **lucl** » 17 Mar 2007, 21:48

Me pregunto si esto implicara algo en lo que te sucede a ti

Código: Seleccionar todo

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.worldonline.es"); (C:\Archivos de programa\Netscape\Users\User00\prefs.js)

ademas creo que debes actualizar el java, hazlo y reinicias y nos cuentas, y sobre esta N1 en principio no hagas nada, esperemos a ver que dicen los tecnicos, pues una simple coma mal puesta acarrea cosas de estas, saludos

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 18 Mar 2007, 23:17

He actualizado Java y sigue igual :cry:

Mensaje por **msc hotline sat** » 20 Mar 2007, 08:13

Pues para rizar el rizo veamos si conoce las aplicaciones de estas claves:

O4 - HKLM\..\Run: [JUGS HOLE NAME AXIS] C:\Documents and Settings\All Users\Datos de programa\Tonscdromjugshole\ThisFree.exe
O4 - HKCU\..\Run: [1 Name] C:\DOCUME~1\costello\DATOSD~1\WINDOW~1\sign great.exe

y si quiere envienos estos ficheros y los analizaremos:

C:\Documents and Settings\All Users\Datos de programa\Tonscdromjugshole\ThisFree.exe
C:\DOCUME~1\costello\DATOSD~1\WINDOW~1\sign great.exe

recordar: viewtopic.php?f=2&t=45334

saludos
ms, 20-03-2007

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 20 Mar 2007, 12:59

No recuerdo haber instalado ninguno de los dos y desde luego, no sé para qué sirven. ¿Los elimino con HJT?

Os mando las muestras solicitadas.

Gracias por vuestra ayuda.

Mensaje por **msc hotline sat** » 20 Mar 2007, 13:03

Espere a que analicemos las muestras, y en funcion de los resultados, o es lo uno o lo otro !

saludos

ms, 20-03-2007

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 20 Mar 2007, 13:11

OK, les mando eso.

Un saludo

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 20 Mar 2007, 19:05

Bueno pues, parece que uno de los antispyware o antivirus que he puesto los ha borrado porque imposible encontrar ninguno de los 2 archivos, ni siquiera como ocultos. :? Parece que sólo quedan los registros en mi ordenador. ¿Los borro?

Mensaje por **msc hotline sat** » 20 Mar 2007, 19:07

pUES A LA HORA DE CERRAR LA RECEPCION DE HOY, NO SE HABIA RECIBIDO LA MUESTRA...

Revise como la ha enviado, si lo ha hecho, y recuerde:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

mejor repita el envio...

saludos

ms, 20-03-2007

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 20 Mar 2007, 19:36

Como acabo de escribir, no he mandado nada porque no he encontrado ninguno de los 2, aunque les registros siguen apareciendo en el log de HJT :?

Mensaje por **msc hotline sat** » 20 Mar 2007, 19:45

Entonces borre dichos registros...

y tras reiniciar nos comenta el resultado, gracias

saludos

ms, 20-03-2007

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 20 Mar 2007, 21:13

De momento, parece que ha funcionado, pero intentaré navegar más tiempo mañana para ver si es realmente el caso.

Gracias por su ayuda

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 20 Mar 2007, 21:16

:cry: Falsa alegría: cuando cerré internet, me volvió a aparecer la alerta de siempre. :evil:

Nuker · Mensaje por **Nuker** » 20 Mar 2007, 21:54

[quote]Entonces borre dichos registros...

y tras reiniciar nos comenta el resultado, gracias

saludos [/quote]

Comentenos si ya probo lo indicado.

Mensaje por **msc hotline sat** » 21 Mar 2007, 10:56

Posteenos nuevo log actual del HJT y veremos si se han reproducido ficheros y claves. En tal caso le volveremos a pedir el envio de ficheros, sin los cuales no podemos detectarlo por cadenas.

saludos

ms, 21-03-2007

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 21 Mar 2007, 19:55

He borrado los dos registros con HJT, y reinicié, pero como les dije ayer, en el momento de cerrar internet, volvió a aparecerme el aviso de Virus Scan respecto al cambio de registro.

Después, pensé que podía tener algo que ver con que no había renovado mi Spamkiller y lo he desinstalado. Veremos si sigue apareciendo este aviso. No llevo mucho rato conectada. Ahora después les contaré.

Mientras tanto, aquí viene el último log de HJT que he sacado:

Logfile of HijackThis v1.99.1

Scan saved at 18:51:56, on 21/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe

C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe

c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Real\Player\realplay.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

C:\Archivos de programa\Larousse\EUL 2003\bin\hyperappel.exe

C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

C:\Archivos de programa\SiteAdvisor\6028\SAService.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\ARCHIV~1\McAfee\EmProxy\emproxy.exe

C:\Documents and Settings\costello\Mis documentos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por ONO

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.ono.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.worldonline.es"); (C:\Archivos de programa\Netscape\Users\User00\prefs.js)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\archivos de programa\mcafee\virusscan\scriptcl.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [RealTray] C:\Real\Player\realplay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SiteAdvisor] C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\Archivos de programa\McAfee\SpamKiller\MSKDetct.exe /uninstall

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Búsqueda rápida de Microsoft.lnk = C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

O4 - Startup: Inicio de Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: hiperllamada EUL 2003.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://ven.ono.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/es/1,0,0,21/mcgdmgr.cab

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\ARCHIV~1\ARCHIV~1\McAfee\EmProxy\emproxy.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe

O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Archivos de programa\SiteAdvisor\6028\SAService.exe

Un saludo y gracias otra vez por su paciencia.

Mensaje por **msc hotline sat** » 21 Mar 2007, 20:16

El log está limpio, solo hay desconocido esto que se supone sera una enciclopedia...:

C:\Archivos de programa\Larousse\EUL 2003\bin\hyperappel.exe

SI lo consideras apto, ya no hay mas cosas raras, pero prueba el actual ELISTARA que ya controla hoy nuevos SWIZZORS que han solucionado los problemas de varios Temas similares:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y lo del cambio de registro igual es una aplicacion licita que lo hace... el registro de sistema de windows está cambiando constantemente

saludos

ms, 21-03-2007

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 21 Mar 2007, 20:50

Pues debe tener razón, a lo mejor era Spamkiller porque parece que ya no sale lo del cambio de registro.

En cuanto a mis problemas con Outlook Express, tampoco son muy graves, vuelvo a modificar el servidor de correo entrante cada vez y ya está.

De todas formas, voy a pasar el nuevo Elistara por si las moscas.

Les agradezco mucho su ayuda.

Un saludo

Mensaje por **msc hotline sat** » 21 Mar 2007, 20:59

Pues compruebe que todo está bien, que le ha costado lo suyo :!: y confirmenos tras ello que ya podemos darlo por solucionado, y procederemos en consecuencia

saludos

ms, 21-03-2007

LAFRANÇAISE · Mensaje por **LAFRANÇAISE** » 21 Mar 2007, 21:33

Aquí viene el archivo Infostat:

Wed Feb 28 20:25:03 2007

EliStartPage v13.43 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Thu Mar 01 18:05:29 2007

EliStartPage v13.43 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Tue Mar 06 10:35:53 2007

EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Mar 06 10:39:18 2007

EliStartPage v13.46 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Ubi Soft\Rayman3\R3_SETUP_DX8.EXE --> Eliminado, CyDoor

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Tonscdromjugshole\DENTGREAT.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\All Users\Datos de programa\Tonscdromjugshole\ROAM DEFAULT.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\All Users\Datos de programa\Tonscdromjugshole\THISFREE.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\costello\Datos de programa\WINDOW MATH SEND\ANSDFYUO.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\costello\Datos de programa\WINDOW MATH SEND\HQAHGYYP.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\costello\Datos de programa\WINDOW MATH SEND\SIGN GREAT.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\costello\Datos de programa\WINDOW MATH SEND\TLMCNBOP.EXE --> Eliminado, Swizzor(lop)

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.8.INF --> Eliminado, MyWebSearch (inf)

Wed Mar 21 20:04:35 2007

EliStartPage v13.58 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Wed Mar 21 20:05:46 2007

EliStartPage v13.58 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\eMule\Incoming\BITDOWNLOAD-3.0-SETUP.EXE --> Eliminado, BitDownload(dropper)

El cambio de registro me ha aparecido ahora, pero como el ordenador va muy bien y tan rápido como antes, me imagino que pueden dar el asunto por cerrado y espero que no tendré que molestarles más :!: :!:

Un saludo

Mensaje por **msc hotline sat** » 22 Mar 2007, 08:55

Ahora sí ! : Hemos encontrado un dropper que hasta ayer no controlabamos !

Wed Mar 21 20:05:46 2007

EliStartPage v13.58 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\eMule\Incoming\BITDOWNLOAD-3.0-SETUP.EXE --> Eliminado, BitDownload(dropper)

Este creaba un banload en UDLL.EXE al instalar la aplicacion en cuestion... regalitos de las descargas con emule...

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 22-03-2007