Ventanas emergentes (SOLUCIONADO)

pepesan1 · Mensaje por **pepesan1** » 14 Mar 2007, 21:31

Tengo pop-ups diversos que emergen pese a los programas de bloqueo...

Algunos aparecen tras la palabra Cid:

He pasado Adaware SE personal, Spybot, Windows Defender y Elisara

Sin duda hay alguna clave que no pillan

os pego mi log:

GRACIAS

Logfile of HijackThis v1.99.1

Scan saved at 20:34:52, on 14/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\carpserv.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\NASDAK\OmniMouse Driver\2.1\MOUSE32A.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Archivos de programa\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\UAService7.exe

c:\archiv~1\intern~1\iexplore.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\lotus\organize\easyclip.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcrobatInfo.exe

C:\SEGURIDAD\HijackThis.exe

C:\SEGURIDAD\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar4.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: Copiloto - {00649EC3-E572-11D3-8F5F-00C0DFEF760F} - C:\WINDOWS\System32\copiloto.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\NASDAK\OmniMouse Driver\2.1\MOUSE32A.EXE

O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Road Dash] C:\DOCUME~1\JOSEMA~1\DATOSD~1\DALEHE~1\BOLTBIKEPING.exe

O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Descargar TODO con FlashGet. - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: Descargar usando FlashGet. - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab

O16 - DPF: {B6F0855B-A06D-498B-A537-80AFF04A1B4E} (WSClientCtl Class) - https://www.telefonicaonline.com/o1/http/WSClient.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F24D67D1-C083-4654-8019-FE4D8FC5E111}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Nuker · Mensaje por **Nuker** » 15 Mar 2007, 03:46

Pues haz "Fix Checked" a esta en Modo Seguro:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Y envia muestra de este fichero:

C:\DOCUME~1\JOSEMA~1\DATOSD~1\DALEHE~1\~~[b]~~BOLTBIKEPING.exe[/b]

Envio de Muestras:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

Mensaje por **msc hotline sat** » 15 Mar 2007, 07:58

Y complementalo probando el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

SALUDOS

ms, 15-03-2007

pepesan1 · Mensaje por **pepesan1** » 15 Mar 2007, 10:11

elistara me hace un par de preguntas al principiop que no se responder, y digo que no por miedo a eliminar demasiado....

Mensaje por **msc hotline sat** » 15 Mar 2007, 11:00

Pues siempre en la dude conteste que No.

Y sobre la muestra enviada, resulta ser una nueva variante del Swizzor que pasamos a implementar en la nueva version de hoy, 13.54 que estara disponible a partir de las 20 h GMT

saludos

ms, 15-03-2007

pepesan1 · Mensaje por **pepesan1** » 15 Mar 2007, 11:39

Varias cosas:

1) y qué hago con ese archivo que mandé?

2) en modo a prueba de fallos lancé: ad-aware, spybot y elistara.... spybot me detectó y eliminó una clave sobre este espía llamado Lop (que tiene que ver con CiD)

Luego elistara no detectó nada

3) eliminé con hijackthis la clave que contásteis

volví a modo normal y al entrar en windows.....todo igual: reaparecen las ventanas emergentes "CiD"

Por cierto: elistara me dice que windows update está incompleto... espero no haberlo machacado con spy bot.....

si es así, supongo que se podrá descargar de microsoft...

_______________________-

copio log de ELISTARA:

Wed Mar 14 15:10:35 2007

EliStartPage v13.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\jose maria\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Eliminada Carpeta "%WinSys%\LogFiles"

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 14 15:14:31 2007

EliStartPage v13.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Microsoft Games\MechWarrior Vengeance\ZONENET.DLL --> Eliminado, FDoS-SpaBot

C:\Archivos de programa\XnView\PlugIns\XECW.DLL --> Eliminado, Keylog-Briss

C:\Program Files\PC-ANDALUZ\INICIO.EXE --> Eliminado, Spy.Delf (BHO)

Thu Mar 15 09:59:11 2007

EliStartPage v13.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Thu Mar 15 09:59:43 2007

EliStartPage v13.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

INMFORME DE SPYBOT

--- Report generated: 2007-03-15 09:55 ---

Avenue A, Inc.: Cookie de seguimiento (Internet Explorer: jose maria) (Cookie, fixed)

C2.lop: Cookie de seguimiento (Internet Explorer: jose maria) (Cookie, fixed)

FastClick: Cookie de seguimiento (Internet Explorer: jose maria) (Cookie, fixed)

Microsoft.Windows.ActiveDesktop: Configuración del usuario (Cambio en el registro, fixed)

HKEY_USERS\S-1-5-21-507921405-1644491937-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoHTMLWallPaper!=W=1

Sfonditalia: Configuración (Cambio en el registro, fixed)

HKEY_USERS\S-1-5-21-507921405-1644491937-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\skymasters.biz\www\*!=W=4

Sfonditalia: Configuración (Cambio en el registro, fixed)

HKEY_USERS\S-1-5-21-507921405-1644491937-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\redfunny.com\www\*!=W=4

Stration.C: Configuración de autoejecución (MSConfig) (Valor del registro, fixed)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSConfig

TagASaurus: Cookie de seguimiento (Internet Explorer: jose maria) (Cookie, fixed)

--- Spybot - Search && Destroy version: 1.3 ---

2007-03-14 Includes\Cookies.sbi

2006-12-08 Includes\Dialer.sbi

2007-03-14 Includes\DialerC.sbi

2007-02-07 Includes\Hijackers.sbi

2007-03-14 Includes\HijackersC.sbi

2006-10-27 Includes\Keyloggers.sbi

2007-03-14 Includes\KeyloggersC.sbi

2004-11-29 Includes\LSP.sbi

2007-02-14 Includes\Malware.sbi

2007-03-14 Includes\MalwareC.sbi

2007-01-19 Includes\PUPS.sbi

2007-03-14 Includes\PUPSC.sbi

2007-03-14 Includes\Revision.sbi

2006-12-08 Includes\Security.sbi

2007-03-14 Includes\SecurityC.sbi

2007-02-02 Includes\Spybots.sbi

2007-03-14 Includes\SpybotsC.sbi

2005-02-17 Includes\Tracks.uti

2007-03-14 Includes\Trojans.sbi

2007-03-14 Includes\TrojansC.sbi

[url]

HE SACADO UN NUEVO LOG EN MODO NORMAL:

Logfile of HijackThis v1.99.1
Scan saved at 10:44:07, on 15/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\carpserv.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\NASDAK\OmniMouse Driver\2.1\MOUSE32A.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Archivos de programa\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\lotus\organize\easyclip.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\SEGURIDAD\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar4.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: Copiloto - {00649EC3-E572-11D3-8F5F-00C0DFEF760F} - C:\WINDOWS\System32\copiloto.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LWBMOUSE] C:\Archivos de programa\NASDAK\OmniMouse Driver\2.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [nod32kui] C:\Archivos de programa\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Road Dash] C:\DOCUME~1\JOSEMA~1\DATOSD~1\DALEHE~1\BOLTBIKEPING.exe
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip.exe
O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Descargar TODO con FlashGet. - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: Descargar usando FlashGet. - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B6F0855B-A06D-498B-A537-80AFF04A1B4E} (WSClientCtl Class) - https://www.telefonicaonline.com/o1/http/WSClient.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F24D67D1-C083-4654-8019-FE4D8FC5E111}: NameServer = 80.58.61.250,80.58.61.254
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

gracias[/url]

Mensaje por **msc hotline sat** » 15 Mar 2007, 12:43

Simplemente esta noche descargas las nueva version de ELISTARA y la pruebas, ella detectará fichero malware y restaurará la clave del registro correspondiente.

Ya despues de esto, reinicias y si detectas alguna otra anomalia nos lo dices

saludos

ms, 15-05-2007

pepesan1 · Mensaje por **pepesan1** » 15 Mar 2007, 15:46

Ojo, he pasado panda activescan y me da este log

Incidencia Estado Elemento

Adware:Adware/Lop No desinfectado c:\docume~1\josema~1\datosd~1\dalehe~1\boltbikeping.exe

Virus:trj/spamer.c Desinfectado Sistema Operativo

Adware:adware/azesearch No desinfectado Registro de Windows

Adware:adware/zango No desinfectado Registro de Windows

Adware:adware/ist.istbar No desinfectado Registro de Windows

Adware:Adware/Lop No desinfectado C:\Archivos de programa\BitDownload\ZM\minime.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\All Users\Datos de programa\view platform jugs online\hopewave.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\All Users\Datos de programa\view platform jugs online\RemoteSurf.exe

Spyware:Cookie/YieldManager No desinfectado C:\Documents and Settings\jose maria\Cookies\jose_maria@ad.yieldmanager[2].txt

Adware:Adware/Lop No desinfectado C:\Documents and Settings\jose maria\Datos de programa\dale help live\ahmytzjw.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\jose maria\Datos de programa\dale help live\BOLTBIKEPING.exe

Adware:Adware/Lop No desinfectado C:\Documents and Settings\jose maria\Datos de programa\dale help live\kljophge.exe

Virus:Trj/Downloader.FLQ No desinfectado Carpetas locales\cosas informatica\Enviando por correo electrónico: Nitro PDF Professional 4.9 Crack & serials.rar\Nitro PDF Professional 4.9 Crack & serials.rar[Nitro PDF Professional 4.9 Crack.exe]

Adware:Adware/Lop No desinfectado Carpetas locales\Elementos enviados\VIRUS PEPESAN1\BOLTBIKEPING.zip[BOLTBIKEPING.exe]

¿Será tan fácil como borrar archivo por archivo?

Mensaje por **msc hotline sat** » 15 Mar 2007, 16:01

No, en Windows las aplicaciones no se eliminan borrando los archivos, sino desinstaladolas, pues cada apliccaion tiene sus claves en el registro de sistema, que deben restaurarse o eliminarse segun proceda.

En todo caso, si quieres, envianos los ficheros que indican detectar como malwares y tras analizarlos, inplementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos

saludos

ms, 15-03-2007

pepesan1 · Mensaje por **pepesan1** » 15 Mar 2007, 16:16

Elistara, version nueva, no ha detectado nada en modo normal.

Probaré esta noche en modo prueba de fallos, aunque tengo poca fe, vistos los resultados

Os mando copia de los archivos en zip

Mensaje por **msc hotline sat** » 15 Mar 2007, 16:30

Claro que no ha detectado nada, si aun la hemos de compilar ! :lol:

Esta noche la tendrás en esta web para evaluarla

Tras ello recuerda postearnos el contenido del C:\infosat.txt, gracias

saludos

ms, 15-03-2007

pepesan1 · Mensaje por **pepesan1** » 15 Mar 2007, 17:35

no sabía que erais los padres de la criatura, jeje

avisad aquí para saber desde qué momento me la descargo

mil gracias

Mensaje por **msc hotline sat** » 15 Mar 2007, 18:39

Recibidas nuevas muestras, corrssponden a nuevas variantes de swizzor y se implementan en la nueva version de hoy del ELISTARA 13.54

Estará disponible a partir de las 20 h GMT

Y de todo ello se informa diariamente en:

https://foros.zonavirus.com/alertas-viricas-y-utilidades-de-eliminacion-vf11.html

saludos

ms, 15-03-2007

pepesan1 · Mensaje por **pepesan1** » 15 Mar 2007, 20:46

BUENO, AQUI ESTÁ EL RESULTADO: 6 ARCHIVOS MENOS

Thu Mar 15 19:35:55 2007

EliStartPage v13.54 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\BitDownload\ZM\MINIME.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\All Users\Datos de programa\view platform jugs online\HOPEWAVE.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\All Users\Datos de programa\view platform jugs online\REMOTESURF.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\jose maria\Datos de programa\dale help live\AHMYTZJW.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\jose maria\Datos de programa\dale help live\BOLTBIKEPING.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\jose maria\Datos de programa\dale help live\KLJOPHGE.EXE --> Eliminado, Swizzor(lop)

PREGUNTA DE NOVATO: SE SUPONE QUE EL REGISTRO ESTÁ REPARADO JUNTO CON LA ELIMINACIÓN DEL ARCHIVO INFECTADO, O HAY QUE ACTUAR DESPUÉS?

GRACIAS

Nuker · Mensaje por **Nuker** » 15 Mar 2007, 20:57

Al enviar la muestra, los ingenieros realizan una (cura) la cual elimina las claves en registro que crea el virus y a la vez elimina/desinfecta el fichero en cuestion, como veras ahi se ve tu muestra enviada ya neutralizada:

C:\Documents and Settings\jose maria\Datos de programa\dale help live\~~[b]~~BOLTBIKEPING.EXE[/b] --> Eliminado, Swizzor(lop)

Comentanos tras reinciar la maquina los nuevos resultados y mencionanos si se puede dar ya por solucionado el tema. Saludos.

pepesan1 · Mensaje por **pepesan1** » 15 Mar 2007, 21:16

jejejee

llevo diez minutos sin pop ups

muchas gracias

si todo va bien, mañana doy por definitivo el arreglo (esperaré prudentemente un día)

pero creo que la cosa marcha...

pepesan1 · Mensaje por **pepesan1** » 16 Mar 2007, 16:16

Gracias, todo va bien.

Podéis cerrar el tema.

Mensaje por **msc hotline sat** » 16 Mar 2007, 16:33

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 16-03-2007