Ayuda para eliminar SearchToolbar (SOLUCIONADO)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
benayas
Mensajes: 3
Registrado: 04 Ago 2006, 09:43

Ayuda para eliminar SearchToolbar (SOLUCIONADO)

Mensaje por benayas » 04 Ago 2006, 09:58

Hola a todos, se me ha instalado la barra SearchToolbar tanto en el explorador de Windows como en Internet Explorer.

Ayer estuve navegando para encontrar una solución y he descargado el programa Hijack, pero no tengo ni idea de lo que tengo que eliminar ni como hacerlo.

Muchas gracias a todos por vuestra ayuda





Logfile of HijackThis v1.99.0

Scan saved at 9:41:44, on 04/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\Ltmoh.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\MusicMatch\MusicMatch Jukebox\mm_tray.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe

C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Archivos de programa\Creative\ShareDLL\MediaDet.Exe

C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe

C:\Archivos de programa\ULI5289\ALi5289.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Norton Ghost\Agent\GhostTray.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Creative\SBAudigy\Taskbar\CTLTray.exe

C:\Archivos de programa\Creative\SBAudigy\Taskbar\CTLTask.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\ARCHIV~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Logitech\iTouch\kbdtray.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\GEARSec.exe

C:\Archivos de programa\Norton Ghost\Agent\VProSvc.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\{3476BA56-BF5B-4482-8594-42D2EB6F5053}.dll

O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\{3476BA56-BF5B-4482-8594-42D2EB6F5053}.dll

O4 - HKLM\..\Run: [LtMoh] C:\WINDOWS\System32\Ltmoh.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MusicMatch\MusicMatch Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe

O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe

O4 - HKLM\..\Run: [CTStartup] C:\Archivos de programa\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [Jet Detection] C:\Archivos de programa\Creative\SBAudigy\PROGRAM\ADGJDet.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [CloneCDTray] C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe

O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe

O4 - HKLM\..\Run: [ALi5289] C:\Archivos de programa\ULI5289\ALi5289.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Archivos de programa\Norton Ghost\Agent\GhostTray.exe"

O4 - HKLM\..\Run: [dmbrt.exe] C:\WINDOWS\system32\dmbrt.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [TaskTray] C:\Archivos de programa\Creative\SBAudigy\Taskbar\CTLTray.exe

O4 - HKCU\..\Run: [Taskbar] C:\Archivos de programa\Creative\SBAudigy\Taskbar\CTLTask.exe

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [KillAndClean] "C:\Archivos de programa\KillAndClean\KillAndClean.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: QuickTV.lnk = C:\AVERTV2K\QuickTV.exe

O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138646919962

O17 - HKLM\System\CCS\Services\Tcpip\..\{1E059A9C-FB52-474C-B6D9-63999DBDE602}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C2892CA-1367-4A6A-B1AA-8C267F4B9454}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\..\{5B303503-38BA-4763-A121-6609B6A80642}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\..\{B9B502FC-53B6-486D-A9FE-B0C228EA4453}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\..\{D77A4512-966C-4855-8506-432868F4586D}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\..\{E4DBA0EF-F443-49A6-AECE-C39C28562213}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE78548-2B09-4557-9350-D6C7290D8ADE}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.73

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.73

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\system32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Norton Ghost\Agent\VProSvc.exe

O23 - Service: Panda Firewall Service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service - Unknown - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\system32\wbem\wmiapsrv.exe
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 04 Ago 2006, 10:22

Ante todo, tiene configurado a traves de varias claves O17 unos servidores de DNS maliciosos:



85.255.114.101 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



85.255.112.73 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



Tras informarte con tu ISP de cuales te recomiendan, puedes probar cambiarlos con CONFGDNS.EXE





CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp





Aparte, está usando una version obsoleta del HJT, Renuevela y tras ello lavnelo, marque la casilla de la izquierda de estas claves y pulse en FIX CHECKED:



O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\{3476BA56-BF5B-4482-8594-42D2EB6F5053}.dll



O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\{3476BA56-BF5B-4482-8594-42D2EB6F5053}.dll





Luego, con la nueva version instalada, nos postea al final nuevo log actual del HJT



recuerde:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



saludos



ms, 4-8-2006



NOTA:



Buscando informacion de procesos en uso en su maquina, hemos visto que tiene uno que esta considerado como malware:



http://www.bleepingcomputer.com/startups/KillAndClean.exe-15159.html



Puede enviarnos muiestra de este fichero : KillAndClean.exe¡, si bien como que no dará ya toiempo a examinarlo antes de vacaciones, sugiero desinstale este producto o elimine la clave de carga, aparte de que nos envie la muestra para implementar su control y eliminacion en proximo ELISTARA postvacaciones. ms.
Arriba
benayas
Mensajes: 3
Registrado: 04 Ago 2006, 09:43

Mensaje por benayas » 04 Ago 2006, 13:31

Muchas gracias por contestar tan rápido

Voy a ver si actualizo el programa.

¿Cual es la versión mas moderna?.

En cuanto a esto que me indicas no tengo ni idea a que se refiere, se nota que lo mio no es la informatica.



Ante todo, tiene configurado a traves de varias claves O17 unos servidores de DNS maliciosos:



85.255.114.101 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



85.255.112.73 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



Tras informarte con tu ISP de cuales te recomiendan, puedes probar cambiarlos con CONFGDNS.EXE



EL NUEVO LOG:



Logfile of HijackThis v1.99.1

Scan saved at 13:36:37, on 04/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\Ltmoh.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\MusicMatch\MusicMatch Jukebox\mm_tray.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe

C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\Archivos de programa\Creative\ShareDLL\MediaDet.Exe

C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe

C:\Archivos de programa\ULI5289\ALi5289.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Norton Ghost\Agent\GhostTray.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Creative\SBAudigy\Taskbar\CTLTray.exe

C:\Archivos de programa\Creative\SBAudigy\Taskbar\CTLTask.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\ARCHIV~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Logitech\iTouch\kbdtray.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\GEARSec.exe

C:\Archivos de programa\Norton Ghost\Agent\VProSvc.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Outlook Express\msimn.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

G:\APLICACIONES\HijackThis\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O4 - HKLM\..\Run: [LtMoh] C:\WINDOWS\System32\Ltmoh.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MusicMatch\MusicMatch Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe

O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe

O4 - HKLM\..\Run: [CTStartup] C:\Archivos de programa\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [Jet Detection] C:\Archivos de programa\Creative\SBAudigy\PROGRAM\ADGJDet.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [CloneCDTray] C:\Archivos de programa\Elaborate Bytes\CloneCD\CloneCDTray.exe

O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Spyware Cleaner] C:\Archivos de programa\DreamGroup\sin-espias\No-Spy.exe

O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe

O4 - HKLM\..\Run: [ALi5289] C:\Archivos de programa\ULI5289\ALi5289.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Archivos de programa\Norton Ghost\Agent\GhostTray.exe"

O4 - HKLM\..\Run: [dmbrt.exe] C:\WINDOWS\system32\dmbrt.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [TaskTray] C:\Archivos de programa\Creative\SBAudigy\Taskbar\CTLTray.exe

O4 - HKCU\..\Run: [Taskbar] C:\Archivos de programa\Creative\SBAudigy\Taskbar\CTLTask.exe

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [KillAndClean] "C:\Archivos de programa\KillAndClean\KillAndClean.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: QuickTV.lnk = C:\AVERTV2K\QuickTV.exe

O4 - Global Startup: TeleSA.lnk = C:\Archivos de programa\AVer Teletext\AVerSA.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138646919962

O17 - HKLM\System\CCS\Services\Tcpip\..\{1E059A9C-FB52-474C-B6D9-63999DBDE602}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C2892CA-1367-4A6A-B1AA-8C267F4B9454}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\..\{5B303503-38BA-4763-A121-6609B6A80642}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\..\{B9B502FC-53B6-486D-A9FE-B0C228EA4453}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\..\{D77A4512-966C-4855-8506-432868F4586D}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\..\{E4DBA0EF-F443-49A6-AECE-C39C28562213}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE78548-2B09-4557-9350-D6C7290D8ADE}: NameServer = 85.255.114.101,85.255.112.73

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.73

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.73

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.73

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de programa\Norton Ghost\Agent\VProSvc.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 04 Ago 2006, 13:43

Pues que cada vez que navegas, vas a buscar las URL en unos servidores de DNS maliciosos de Ukraina, que te pueden llevar al huerto !



Y ello lo tienes repetido varias veces en varias entradas O17 del log del HJT, como podrás ver)



Habla con tu ISP yu veras como no son las URL de sus sevuidores de DNS...



Posiblemente tengas una aplicacion (un DNS change) que lo provoca.



saludos



ms, 4-8-2006



Ahora ya no hay tiempo de analizar muestras pues se tarda tiempo y a las 15 horas la empresa que las examina (SATINFO) cierra por vacaciones, por esto le decia que desinstalar un programa malicioso, por si fuera la fuente de ello, aparte de que nos envie muestra del mismo para examinarla postvacaciones. ms.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 04 Ago 2006, 14:14

Conoces estas aplicaciones que estas usando ???



Envianos las que no conozcas y los analizaremos ...



C:\Archivos de programa\ULI5289\ALi5289.exe



C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe



SafeSignCertReg.exe



C:\WINDOWS\system32\dmbrt.exe



C:\Archivos de programa\KillAndClean\KillAndClean.exe"









y elimina estas claves del nuevo log:



O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)



O4 - HKLM\..\Run: [dmbrt.exe] C:\WINDOWS\system32\dmbrt.exe



O4 - HKCU\..\Run: [KillAndClean] "C:\Archivos de programa\KillAndClean\KillAndClean.exe"







y recuerda que estas configurando servidores de DNS maliciosos:



O17 - HKLM\System\CCS\Services\Tcpip\..\{1E059A9C-FB52-474C-B6D9-63999DBDE602}: NameServer = 85.255.114.101,85.255.112.73



O17 - HKLM\System\CCS\Services\Tcpip\..\{3C2892CA-1367-4A6A-B1AA-8C267F4B9454}: NameServer = 85.255.114.101,85.255.112.73



O17 - HKLM\System\CCS\Services\Tcpip\..\{5B303503-38BA-4763-A121-6609B6A80642}: NameServer = 85.255.114.101,85.255.112.73



O17 - HKLM\System\CCS\Services\Tcpip\..\{B9B502FC-53B6-486D-A9FE-B0C228EA4453}: NameServer = 85.255.114.101,85.255.112.73



O17 - HKLM\System\CCS\Services\Tcpip\..\{D77A4512-966C-4855-8506-432868F4586D}: NameServer = 85.255.114.101,85.255.112.73



O17 - HKLM\System\CCS\Services\Tcpip\..\{E4DBA0EF-F443-49A6-AECE-C39C28562213}: NameServer = 85.255.114.101,85.255.112.73



O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE78548-2B09-4557-9350-D6C7290D8ADE}: NameServer = 85.255.114.101,85.255.112.73



O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.73



O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.73



O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.101 85.255.112.73





Prueba el CONFGDNS.EXE tras hablar con tu ISP !!!





Debes eliminar el troyano DNS Change que te provoca este cambio de servidor de DNS, y luego cambiar la configuracion de los servidores, pues sino estaremos siempre en las mismas...!!!



Y piensa que los troyanos y claves maliciosas que tenias, probablemente te han sido implantadas por ello.



Me queda poco tiempo, asi que si tienes alguna pregunta hazla YA !



saludos



ms, 4-8-2006
Arriba
benayas
Mensajes: 3
Registrado: 04 Ago 2006, 09:43

Mensaje por benayas » 04 Ago 2006, 14:58

Muchas gracias por tu ayuda las dichosas barras han desaparecido continuare con el resto .

de nuevo gracias
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 04 Ago 2006, 15:59

Pues lo celebramos, y solucionado el problema, procedemos a cerrar el Tema.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 4-8-2006
Arriba
Cerrado

Volver a “Foro Virus - Cuentanos tu problema”