No puedo con el Spyaxe (SOLUCIONADO)

txona55 · Mensaje por **txona55** » 04 Ene 2006, 05:13

he pasado el ultimo Elistar+Spybot+ad-aware y to sigue igual,

aquí os pongo una copia del log para ver si me podeis ayudar

Logfile of HijackThis v1.99.1

Scan saved at 5:03:33, on 04/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Blubster\Blubster.exe

C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [PPort9reminder] "C:\Archivos de programa\ScanSoft\PaperPort\WebEreg\Ereg.exe" -r "C:\Documents and Settings\All Users\Datos de programa\ScanSoft\PaperPort\9\Config\ereg.ini"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [Blubster] C:\Archivos de programa\Blubster\Blubster.exe SILENT

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Archivos de programa\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O17 - HKLM\System\CS1\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O17 - HKLM\System\CS2\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

muchisimas gracias de antemano

Mensaje por **msc hotline sat** » 04 Ene 2006, 07:05

No creo que esté visible en el HJT !!!

Puedes eliminar esta clave:

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)

Y mira las versiones que usas de ELISTARA y de AD_AWARE, a ver si es por esto, aparte de asegurarte que lo haces arrancando en modo seguro y con la restaoracion de sistema deshabilitada.

Dinoslo como resùesta de este Tema, gracias

saludos

ms, 4-1-2006

txona55 · Mensaje por **txona55** » 04 Ene 2006, 13:07

Creo que he hecho lo que me dices , borrar el registro que me dijiste,borre el registro Windows XP arranqué en modo seguro y pase el software,y nada, es más como el ad-aware encontró un archivo infectado lo repetí todo hasta que

el ElistarA v 10.86 , Spybot y Ad-aware SE plus dieron negativo;

volví a arrancar y estamos en la misma.

Te pongo el log lo que cuenta el ElistarA

Logfile of HijackThis v1.99.1

Scan saved at 12:53:04, on 04/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Blubster\Blubster.exe

C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Archivos de programa\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe

C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\Run: [IndexSearch] C:\Archivos de programa\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM\..\Run: [PPort9reminder] "C:\Archivos de programa\ScanSoft\PaperPort\WebEreg\Ereg.exe" -r "C:\Documents and Settings\All Users\Datos de programa\ScanSoft\PaperPort\9\Config\ereg.ini"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [Blubster] C:\Archivos de programa\Blubster\Blubster.exe SILENT

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [SpyAxe] C:\Archivos de programa\SpyAxe\spyaxe.exe /h

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Archivos de programa\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {525019DF-8282-40DC-A0E0-13C076889F66} (InstallerSf Control) - http://www.softonic.com/sinespias/installer.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O17 - HKLM\System\CS1\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O17 - HKLM\System\CS2\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\eEBSVC.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

Tue Jan 03 22:43:28 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\MSCORNET.EXE --> Eliminado DownLoader.AQW

C:\WINDOWS\SYSTEM32\MSVOL.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminada Class, "{014DA6C9-189F-421A-88CD-07CFE51CFF10}"

Eliminada Class, "{04079851-5845-4DEA-848C-3ECD647AA554}"

Eliminada Class, "{E0103CD4-D1CE-411A-B75B-4FEC072867F4}"

Eliminada Carpeta "%Archivos de Programa%\MyWay"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 00:13:13 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 00:43:10 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 01:18:42 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 01:23:43 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\ScanSoft\PaperPort\PPnt10.exe --> Eliminado, IamBigbro

C:\Archivos de programa\ScanSoft\PaperPort\PPnt2000.exe --> Eliminado, IamBigbro

C:\Archivos de programa\ScanSoft\PaperPort\PPnt97.exe --> Eliminado, IamBigbro

C:\Archivos de programa\SpywareBlaster\sbautoupdate.exe --> Eliminado, WinAd (Dropper)

C:\WINDOWS\Samsung\CLP-510\CLP-510\SM\CommonSM\Help\Flash_Shockwave_Full.exe --> Eliminado, Accoona

Wed Jan 04 01:48:00 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 03:10:49 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 03:46:03 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 03:47:43 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\SpyAxe\SpyAxe.exe --> Eliminado, WinAd (Dropper)

Wed Jan 04 03:54:14 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 04:19:52 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 04:45:00 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 05:23:02 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 12:07:44 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 12:30:27 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 12:55:48 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Gracias por todo

Mensaje por **flacoroo** » 04 Ene 2006, 15:25

sigue estas instrucciones....pero primero actualiza a hoy el spybot...

1.- Enciende tu computadora en modo seguro, y deshabilita Restaurar Sistema.
2.- Spybot debe estar actualizado.
3.- Abre tu Spybot …sigue estos pasos:

a).- en el menú modo toma la opción avanzado.
b).- entras en la pestaña herramientas
c).- del lado derecho te aparecerán varias opciones, habilitas todas
d).- después entras a información de desinstalación y vas uno por uno buscando programas que creas que no haz instalado o programas que pueden llevarte a que sea lenta la computadora o tenga fallas, como toolsbars, programas gratuitos para mejorar el puntero del Mouse, emoticons, etc…
e).- También debes eliminar cadenas de programas que están solas o que no hagan referencia a un programa especifico.
Ejemplo: mxhsjxhsga1237493021%dffg$$$hdhdhsjs

f).-Después entras en Inicio de sistemas
g:- Ahí veras a todos los programas que se cargan al comenzar Windows…de lado derecho hay una imagen como un pequeño teclado dale clic para que se abra una ventana…y ahora iras de arriba hacia abajo o inversa…chécando uno por uno cada archivo y ayudándote con la información que te sale lado derecho donde dice base de datos iras haciendo lo siguiente:
1.- deshabiltar todas las que te digan NO NECESARIO…
2.- Eliminar todas las que te digan : virus, troyano, innecesario, etc.
3.-en caso de que no te salga información sobre un programa, debes de ver de que programa es, si vez que es un programa conocido pues no lo deshabilites, en la parte de abajo hay unos archivos que dicen WINLOGON esos no los deshabilites (en caso de tenerlos)
h).- de ahí te iras a la opción Partes Internas del Sistemas y oprimes la opción comprobar y si te sale algo en la ventana de abajo le das reparar los problemas seleccionado y le das borrar a todos.
i).- de ahí te vas a la opción BHOs y eliminas las cadenas que no están en verde
j).- de ahí también el mismo procedimiento a la siguiente opción ActiveX

y de ahí corres el spybot y eliminas todo lo que te salga y inmunizas….

nos dices como te fue....

txona55 · Mensaje por **txona55** » 05 Ene 2006, 02:52

Estoy desesperado, ninguna de las estrategias funciona y el caso es que la cosa va a peor.

No puedo entender como un programa de limpieza te dice que todo está OK y otro encuentra 35 archvos infectados.

La ultima limpieza con las herramientas avanzadas de Spybot arranqué a prueba de fallos y también habia ventanas emergentes y ocurrio la autoinstalación del Spyaxe.

¿Se os ocurre algo?

gracias a todos.

Mensaje por **msc hotline sat** » 05 Ene 2006, 06:23

Me consta de otras casos que arrancando en modo seguro y lanzando primero el ELISTARA y luego el AD_AWARE (quizas en modo avanzado) se ha solucionado el problema, pero no nos han indicado el log de actividad del AD_AWARE para ver lo que ha hecho y poder nosotros incluirlo en el ELISTARA

Se pide a los que les hayan resuelto asi el problema, que postenn lo que el AD_AWARE ha hecho, pues sabemos lo que hacemos con el ELISTARA, pero no lo que hace luego el AD_AWARE al respecto, y valdría la pena para eliminar mas facilmente este dichoso SPYAXE

saludos

ms, 5-1-2006

txona55 · Mensaje por **txona55** » 12 Ene 2006, 14:32

Nadie postea nada para solucionar el maldito SpyAxe?

Mensaje por **msc hotline sat** » 12 Ene 2006, 14:58

Hay muchos mas temas al respecto, y buenas noticias en ellos!

Aplica windowsupdate, baja la ultima version del ELISTARA 10.92, arranca en modo seguro y ejecuta dicha utilidad.

Si te pide muestras, envialas y la siguiente version ya te lo controlará

Sino, ya es de las variantes conocidas y lo elimina automáticamente.

Cuentanos el resultado como respuesta de este Tema, gracias

saludos

ms, 12-1-2006

txona55 · Mensaje por **txona55** » 13 Ene 2006, 13:37

He actualizado el XP

He descargado el ElistarA 10.93 (no la 92)

He desactivado el registro de Windos

Arranco en modo seguro

Paso el ElistarA

Paso el Ad-aware........

y todo sigue igualito.

Si quieres que te postee alguna fichero del infosat aquí está:

Tue Jan 03 22:43:28 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\MSCORNET.EXE --> Eliminado DownLoader.AQW

C:\WINDOWS\SYSTEM32\MSVOL.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminada Class, "{014DA6C9-189F-421A-88CD-07CFE51CFF10}"

Eliminada Class, "{04079851-5845-4DEA-848C-3ECD647AA554}"

Eliminada Class, "{E0103CD4-D1CE-411A-B75B-4FEC072867F4}"

Eliminada Carpeta "%Archivos de Programa%\MyWay"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 00:13:13 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 00:43:10 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 01:18:42 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 01:23:43 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\ScanSoft\PaperPort\PPnt10.exe --> Eliminado, IamBigbro

C:\Archivos de programa\ScanSoft\PaperPort\PPnt2000.exe --> Eliminado, IamBigbro

C:\Archivos de programa\ScanSoft\PaperPort\PPnt97.exe --> Eliminado, IamBigbro

C:\Archivos de programa\SpywareBlaster\sbautoupdate.exe --> Eliminado, WinAd (Dropper)

C:\WINDOWS\Samsung\CLP-510\CLP-510\SM\CommonSM\Help\Flash_Shockwave_Full.exe --> Eliminado, Accoona

Wed Jan 04 01:48:00 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 03:10:49 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 03:46:03 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 03:47:43 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\SpyAxe\SpyAxe.exe --> Eliminado, WinAd (Dropper)

Wed Jan 04 03:54:14 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 04:19:52 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 04:45:00 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 05:23:02 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 12:07:44 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 12:30:27 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 12:55:48 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 14:23:10 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 15:24:04 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 05 01:12:10 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 05 02:41:19 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 05 14:44:06 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 05 15:30:28 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 05 16:05:46 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 06 08:42:01 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 06 08:48:30 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 06 09:00:34 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 06 17:01:25 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 06 17:04:07 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\RECYCLER\S-1-5-21-839522115-1682526488-1343024091-1003\Dc4.exe --> AutoExtraible

Sat Jan 07 00:50:41 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jan 07 14:30:44 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jan 07 21:27:09 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Jan 08 00:13:55 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jan 10 01:56:58 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 11 00:50:32 2006

EliStartPage v10.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 13 11:43:33 2006

EliStartPage v10.93 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 13 12:18:40 2006

EliStartPage v10.93 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

muchas gracias por todo

Mensaje por **msc hotline sat** » 13 Ene 2006, 14:02

Vale, pues en las dos ultimas, primero lo encontró y eliminó y en la segunda ya no lo encontró, como se ve en el informe. OK.

Ya hemos subido la 10.94 , pruebalam a ver si ademas de no encontrar nada, no te dice que te falta el parche, que es la mejora especial de esta ultima version, aparte del control de otra variante del SpySheriff

Si aparte de los informes, persiste alguna anomalia, indicanosla, y posteanos el nuevo infosat.txt tras lanzar la 10.94, gracias

saludos

ms, 13-1-2006

txona55 · Mensaje por **txona55** » 13 Ene 2006, 15:26

Cuando arranco a modo de fallos no encuentra nada.

Al reiniciar otra vez se vuelve a cargar el maldito spyaxe.

no se que hacer pero creo que he perdido la batalla y tendré que reconfigurar xp.

Ahi va el infosat

Tue Jan 03 22:43:28 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\MSCORNET.EXE --> Eliminado DownLoader.AQW

C:\WINDOWS\SYSTEM32\MSVOL.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminada Class, "{014DA6C9-189F-421A-88CD-07CFE51CFF10}"

Eliminada Class, "{04079851-5845-4DEA-848C-3ECD647AA554}"

Eliminada Class, "{E0103CD4-D1CE-411A-B75B-4FEC072867F4}"

Eliminada Carpeta "%Archivos de Programa%\MyWay"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 00:13:13 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 00:43:10 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 01:18:42 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 01:23:43 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\ScanSoft\PaperPort\PPnt10.exe --> Eliminado, IamBigbro

C:\Archivos de programa\ScanSoft\PaperPort\PPnt2000.exe --> Eliminado, IamBigbro

C:\Archivos de programa\ScanSoft\PaperPort\PPnt97.exe --> Eliminado, IamBigbro

C:\Archivos de programa\SpywareBlaster\sbautoupdate.exe --> Eliminado, WinAd (Dropper)

C:\WINDOWS\Samsung\CLP-510\CLP-510\SM\CommonSM\Help\Flash_Shockwave_Full.exe --> Eliminado, Accoona

Wed Jan 04 01:48:00 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 03:10:49 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 03:46:03 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 03:47:43 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\SpyAxe\SpyAxe.exe --> Eliminado, WinAd (Dropper)

Wed Jan 04 03:54:14 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 04:19:52 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 04:45:00 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 05:23:02 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 12:07:44 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 12:30:27 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 12:55:48 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 14:23:10 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 04 15:24:04 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 05 01:12:10 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 05 02:41:19 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 05 14:44:06 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 05 15:30:28 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Jan 05 16:05:46 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 06 08:42:01 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 06 08:48:30 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 06 09:00:34 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 06 17:01:25 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 06 17:04:07 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\RECYCLER\S-1-5-21-839522115-1682526488-1343024091-1003\Dc4.exe --> AutoExtraible

Sat Jan 07 00:50:41 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jan 07 14:30:44 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jan 07 21:27:09 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Jan 08 00:13:55 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jan 10 01:56:58 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Jan 11 00:50:32 2006

EliStartPage v10.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 13 11:43:33 2006

EliStartPage v10.93 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 13 12:18:40 2006

EliStartPage v10.93 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 13 14:24:52 2006

EliStartPage v10.94 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 13 14:50:50 2006

EliStartPage v10.94 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado SpyAxe (anti)

C:\Documents and Settings\usuario\Menú Inicio\SPYAXE 3.0.LNK --> Eliminado (Fichero Complementario).

C:\Documents and Settings\usuario\Escritorio\SPYAXE.LNK --> Eliminado (Fichero Complementario).

C:\Documents and Settings\usuario\Datos de programa\Microsoft\Internet Explorer\Quick Launch\SPYAXE 3.0.LNK --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminada Carpeta "%ProgMenuInicio%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Jan 13 15:10:09 2006

EliStartPage v10.94 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\Documents and Settings\usuario\Menú Inicio\SPYAXE 3.0.LNK --> Eliminado (Fichero Complementario).

C:\Documents and Settings\usuario\Escritorio\SPYAXE.LNK --> Eliminado (Fichero Complementario).

C:\Documents and Settings\usuario\Datos de programa\Microsoft\Internet Explorer\Quick Launch\SPYAXE 3.0.LNK --> Eliminado (Fichero Complementario).

Eliminada Carpeta "%ProgMenuInicio%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mensaje por **msc hotline sat** » 13 Ene 2006, 16:21

en el histórico del infosat se escribió: Fri Jan 13 11:43:33 2006
EliStartPage v10.93 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"
...
Fri Jan 13 12:18:40 2006
EliStartPage v10.93 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Fri Jan 13 14:24:52 2006
EliStartPage v10.94 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Fri Jan 13 14:50:50 2006
EliStartPage v10.94 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado SpyAxe

A las 11:43 fue eliminado
A las 12:18 no lo tenía
A las 14:24 seguía sin tenerlo

Pero a las 14:50 lo volvia a tener ...

Puede tratarse de una reinfeccion por acceder de nuevo a la pagina web ??? Ha entradao en alguna pagina que pueda tenerlo ??? Quizas se trata de vulnerabilidad no corregida por el parche (dicen que hay aun agujero...)

Mire de eliminarlo en modo seguro y tras 2 op cuatro horas sin navegar, volver a lanzar el ELISTARA en modo seguro, a ver si es por eso.

Informenos de sus progresos, gracias

saludios

ms, 13.1.2006

Mensaje por **msc hotline sat** » 13 Ene 2006, 16:37

Pero no veo que en los ultimos informes haya eliminado ninguan clave del winlogon notify ni la DLL que carga, asi que puede tratarse de una nueva variante descontrolada.

Vea con el HJT en modo seguro, la 020 WinLogion Notifi si llama a alguna DLL y si es el caso y el ELISTARA no se la comenta, es muy raro... mire de moverla a otra carpeta de ciarentena, o a un disquete para enviarnosla y pasar a controlarla

Instrucciones para el HJT:

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

saludos

ms, 13-1-2006

Nota, tras tenerla a buen recaudo, podría mirar de eliminarla con KILLBOX

txona55 · Mensaje por **txona55** » 14 Ene 2006, 11:08

Aquí esta el log de Hijackthis

en modo normal luego arrancaré en modo seguro

(como no uso el paperport me lo he cargado para ir descartando

cosas por si las moscas)

Logfile of HijackThis v1.99.1

Scan saved at 11:01:42, on 14/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [PaperPort PTD] C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Archivos de programa\Microsoft AntiSpyware\gcASCleaner.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AWMON] "C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Archivos de programa\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O17 - HKLM\System\CCS\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O17 - HKLM\System\CS1\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O17 - HKLM\System\CS2\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)

Mensaje por **msc hotline sat** » 14 Ene 2006, 12:23

Arranque en modo seguro y elimine esta:

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)

y tras ello vuelva a lanzar el HJT y nos postea el log resultante en modo seguro y veremos si aparece algun winlogon notify o alguna clave que no aparecía en el log del modo nornal,,,

saludos

ms, 14-1-2006

txona55 · Mensaje por **txona55** » 14 Ene 2006, 16:14

No me deja borrarlo,es decir: arranco el hijackthis le mando que escanee y le doy al fix para borrar la entrada 23 dice que lo hace vuelvo a escanear y vuelve a aparecer como podeis ver en el log:

Logfile of HijackThis v1.99.1

Scan saved at 15:42:24, on 14/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Archivos de programa\Microsoft AntiSpyware\gcASCleaner.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AWMON] "C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Archivos de programa\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O17 - HKLM\System\CCS\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O17 - HKLM\System\CS1\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O17 - HKLM\System\CS2\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe (file missing)

espero vuestra respuesta sobre este asunto tan raro.

Se me olvidaba voy a ver esa carpeta a C:\Archivos de programa\Archivos comunes\ y no aparece como te puedes imaginar tampoco el archivo ni dando al buscador de Windows

Mensaje por **msc hotline sat** » 14 Ene 2006, 19:41

Pues elimine antes este fichero con el KILLBOX:

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

____________________

KILLBOX POCKET

Para eliminacion de ficheros que se resistan_

http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp

(no precisa instalacion)- ADMIN 26-08-2005

____________________

Puede que algo de Symantec en proceso, no visible en este log esté impidiendo su eliminacion

txona55 · Mensaje por **txona55** » 14 Ene 2006, 21:40

Si pero no encuentro el archivo ni la carpeta y kilbox dice cuando le pongo la ruta con el archivo que no esta.

Mensaje por **msc hotline sat** » 14 Ene 2006, 21:58

Entonces es algo mal desinstalado de Norton...

Mira en Panel de Control -> Agregar o quityar programas...

saliudps

ms, 14-1-2006

txona55 · Mensaje por **txona55** » 14 Ene 2006, 22:08

En agregar o quitar programas no hay nada ni de norton ni de symantec, puedo volver a instalar el antivirus norton si lo consideras oportuno

gracias otra vez

victorm · Mensaje por **victorm** » 14 Ene 2006, 22:34

Hola txona55.

Yo he tenido al spyaxe en dos ocasiones de visita, pero he conseguido con la ayuda del foro eliminarlo.

La primera ocasión lo eliminé conforme te ha indicado ms, tras varios dias con envíos de log y pasadas del elistara. Con restauración del sistema desactivada, pasé el último elistara, el spybot actualizado y por último el ad-aware avanzado actualizado, que fue el que me lo eliminó definitivamente.

Posteriormente, me volvió a visitar, pero al proceder de la misma manera que antes no conseguía limpiarlo. Supongo que existirán variantes o mutaciones cada vez más resistentes.

En esta ocasión, actualizé y pasé los antivirus anteriores y también descargué el mcafee virus scan actualizado (aunque tarda un poco la descarga, por su tamaño).

Tras pasarlos varias veces me limpiaban mucha basura y al spyaxe, pero el famoso mensajito no desaparecía nunca y cada cierto tiempo el spyaxe volvía a aparecer. Entonces configuré la protección permanente del mcafee y volví a pasar los antivirus. El spybot me pidió reiniciar para completar la desinfección (como en otras ocasiones), y al ejecutarse en el reinicio, la protección permanente del mcafee me informó que había sido destruido el spyaxe. Cuando el spybot acabó el chequeo ya no hubo rastro del spyaxe.

Perdona por el rollo, pero igual te ayuda a resolver el problema. En cualquier caso no te desanimes, sigue las instrucciones del foro, y tarde o temprano con las actualizaciones de estos programas lo limpiarás.

Saludos y Suerte!

Víctor.

Mensaje por **msc hotline sat** » 15 Ene 2006, 10:21

Bueno victorm, gracias por tu participacion y por aportar tus experiencias al respecto

Desde que tuviste el SPYAXE hemos sabido dos grandes novedades sobre el mismo, que ingresa por exploit WMF y que si se lanza, oculta sus claves y ficheros de forma que no es visible

Por ello es muy importante tener aplicado el MS06-001 , a traves de lanzar un windowsupdate, y utilizar el ELISTARA, el HiJackThis y demas utilidades al respecto, en MODO SEGURO !!!

Pero ahora lo que nos ocupa en este Tema es la eliminacion de una clave de un servicio de Norton, que se resiste a ser eliminada.

He estado revisando y veo que para eliminarla dices "Arranco el HiJackThis..." pero no dices en que modo, y por si no lo hicieras, prueba de hacerlo en MODO SEGURO y nbos cuentas el resultado, gracias

saludos

ms, 15-1-2006

txona55 · Mensaje por **txona55** » 15 Ene 2006, 21:20

Bueno como puedes ver en el log he vuelto a instalar el norton-antivirus, por si así podemos ver donde se encuentra la dll.

Si quieres vuelvo a desinstalarlo y repito la operación. de todas formas he reiniciado a modo deguro y antes he desactivado el registro de windos xp.

Logfile of HijackThis v1.99.1

Scan saved at 21:03:56, on 15/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SpyAxe] C:\Archivos de programa\SpyAxe\spyaxe.exe /h

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AWMON] "C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Archivos de programa\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137286182017

O17 - HKLM\System\CCS\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O17 - HKLM\System\CS1\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O17 - HKLM\System\CS2\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

antes de continuar quiero comentarte que cuando se cargó`por primera vez el spyaxe se me encendieron dos pantallas de virus-alert de norton que son de color rojo.

Cuando di a una para eliminar el virus fue cuando se instalo el

spyaxe, quedó otra pantalla roja de aviso de norton que sospecho que era la verdadera pero aunque tambien le di para que eliminara el virus presumo que ya era demasiado tarde, el ejecutable iba con el aviso falso de virus-alert de norton de la primera pantalla.

muchas gracias por todo

Mensaje por **msc hotline sat** » 16 Ene 2006, 08:00

Lo que vuelves a tener es el SPYAXE instalado !!! y eso esposiblemente lo que nos impedia la eliminacion de la clave, posiblenente por esconder al virus .

Bueno, no sé si instalaste el MS06-001 por lo que ante todo empezaremos por lanzar un windowsupdate para ello, y luego vas a probar un sistema que puede ser conveniente para erradicar el SPYAXE, y es no tener el EXPLORER en marcha, para lo cual arranvarás en MODO SEGURO EN SOLO SIMBOLO DE SISTEMA y desde DOS lanzarás el ELISTARA 10.94 (La ultima version) a ver si lo eliminamos de una vez

Luego desinstala el NORTON y nos pegas un log de entonces del HJT arrancando en modo seguro, gracias

saludos

ms, 16-1-2006

txona55 · Mensaje por **txona55** » 16 Ene 2006, 15:48

Nada de nada, he arrancado a modo de fallos con simbolo de sistema y con el registro de xp desactivado y cuando reinicio

vuelvo a tener a mi inseparable bitxo.

Aquí tienes el log

Logfile of HijackThis v1.99.1

Scan saved at 15:40:38, on 16/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe

C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE

C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Archivos de programa\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe

C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\msiexec.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [SpyAxe] C:\Archivos de programa\SpyAxe\spyaxe.exe /h

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AWMON] "C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Archivos de programa\ZyXEL\IEEE802.11b WLAN Card Utility\WLPCCfg.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137286182017

O17 - HKLM\System\CCS\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O17 - HKLM\System\CS1\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O17 - HKLM\System\CS2\Services\Tcpip\..\{014EB6C8-C338-4374-9689-93B44B7C6445}: NameServer = 212.55.8.132,212.55.8.133

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

txona55 · Mensaje por **txona55** » 16 Ene 2006, 15:50

se me olvidaba que desinstalé el norton anti-virus

gracias por todo

Mensaje por **msc hotline sat** » 16 Ene 2006, 16:21

Buieno, ya lo desinstalarás, pero no se te ha olvidado algo en medio de:

[quote]Nada de nada, he arrancado a modo de fallos con simbolo de sistema y con el registro de xp desactivado y cuando reinicio[/quote]

Lanzar el ELISTARA !!! O LO HAS HECHO Y NO LO DICES ???

y este último log ha sido en modo normal, no ??? EN MODO SEGURO, PARA ESTE BICHO SIEMPRE EN MODO SEGURO TODO !!!, SINO SE ESCONDE Y NO LO VEMOS !!!

saludos

ms, 16-1-2006

ES MAS, ARRANCA SIEMPRE PARA TOPDO LO RELACIKNADO CON ESTE BICHO, DETECCION, ELIMINACION, COMPROBACION, ETC, EN MODO SEGURO CON SOLO SIMBOLO DE SISTEMA, please. ms.

txona55 · Mensaje por **txona55** » 16 Ene 2006, 19:08

claro que he lanzado el elistarA aunque el infosat no te lo puedo poner porque como no sabíala versión lo he arrancado en modo "no seguro" para ver la versión, pero la secuencia ha sido:

paso el ad-aware

quitar el registro de windows

arrancar en modo seguro con simbolo de sistema

ejecutar el elistara

reiniciar en modo normal

desinstalar el norton

ejecutar el hijackthis

......

todo sigue igual

Mensaje por **msc hotline sat** » 16 Ene 2006, 19:43

Pues como que al parecer se ha podido eliminar con esta utilidad, pruebala mientras nosotros pulimos la nuestra, pero no vamos a hacerte esperar al mañana...

[quote]Download the smitRem.exe file from this site http://www.bleepingcomputer.com/forums/topic36868.html

Then boot into safe mode and run the file. [/quote]

Basicamente es descargar la utilidad del link indicado, arrancar en modo seguro y lanzarla, y docen que les ha ido bien, asi que pruebalo y nosotros moraremos que mas hace que el ELISTARA no haga todavía, pero mientras, a ver si con ello puedes solucionar el problema

saludos

ms, 16-1-2006

txona55 · Mensaje por **txona55** » 16 Ene 2006, 20:34

QUE FUERTE, SE LO HA CARGADO........URRA

despuesd de 10 días en un sinvivir esa bendita apalicación se lo ha cargado.

Si quieres te pongo el informe que genera pero llevo unos dias haciendóme unas preguntas sobre lo que me ha pasado a mí que me gustaría exponerte:

1-¿No hay nada que hacer contra estos tipos?, tanto desde el punto de vista legal u otro tipo, como petarles su página o cosa así

2-¿como permiten las famosas autoridades que encuentran timadores en la red y otro tipo de ciberdelincuentes que esta peña putee a todo cristo sin hacer nada?

Informe de la utilidad:

smitRem © log file

version 2.8

by noahdfear

Microsoft Windows XP [Versi¢n 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

spyaxe uninstaller NOT present

Winhound uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

Antivirus Test Online.url

~~~ system32 folder ~~~

wbeconm.dll

1024 dir

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org

Killing PID 704 'explorer.exe'

Killing PID 704 'explorer.exe'

Starting registry repairs

Deleting files

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN! :)

Muchisimas gracias por todo, sin vuestra ayuda no hubiese podido salir adelante