desesperado! ventanas por todas partes

[eduardogrojas]

Que tal! bueno mi problema es en resumen lo siguiente.



-se abren ventanas de Explorer con publicidad de: wallpapers, antivirus, antispywares, clases de ingles de disney entre otros.



-el norton me detecto un virus llamado "downloader" en la extension g228810982.dll y no la puedo borrar y/o poner en cuarentena. dice que esta en uso. además en algunas ocaciones se abre una ventana de windows diciendo q hubo un error con winlogon.exe y se APAGA!!!...



-considerando esto instale el spybot, y AD-AWARE pero de todas formas siguen apareciendo las desesperantes ventanas (lo hice en modo seguro y normal)... y el mensaje de winlogon ocasionalmente.



-en vista de esto instale el hijackthis, y en modo seguro me lanzo el siguiente resultado del log.











Logfile of HijackThis v1.99.1

Scan saved at 04:18:18 p.m., on 02/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Documents and Settings\Eduardo\Escritorio\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/Eduardo/Mis%20documentos/Paginas%20Web/otro%20site/INICIO_RAPIDO.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.toshiba.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {8CF99AF0-053B-0BBC-1400-59F07BBC6F90} - C:\WINDOWS\system32\ckqbekd.dll

R3 - URLSearchHook: (no name) - {DAAB9DFB-0D6B-58EF-1400-59F07BBC6A95} - (no file)

O3 - Toolbar: Yor.net - {CD292324-974F-4224-D765-C1945F70B730} - C:\ARCHIV~1\Yor.net\Toolbar\Toolbar.dll

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [TouchED] C:\Archivos de programa\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [Pinger] c:\toshiba\ivp\ism\pinger.exe /run

O4 - HKLM\..\Run: [SMCSTA.EXE] SMCSTA.EXE START

O4 - HKLM\..\Run: [vptray] C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [OdTray.exe] "C:\Archivos de programa\Texas Instruments\Odyssey Client for Texas Instruments\OdTray.exe"

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q

O4 - HKCU\..\Run: [Itaa] "C:\WINDOWS\system32\FNTS~1\regsvr32.exe" -vt ndrv

O4 - HKCU\..\Run: [Oala] C:\WINDOWS\??pPatch\?serinit.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: PowerReg SchedulerV2.exe

O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Archivos de programa\3M\PSN2Lite\Psn2Lite.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\clbcatix.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\clbcatix.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\clbcatix.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\clbcatix.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\clbcatix.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\clbcatix.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.toshiba.com

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://eduardogr.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs:

O20 - Winlogon Notify: BITS - C:\WINDOWS\system32\j4l40e3qeh.dll

O20 - Winlogon Notify: cfgmngr32 - C:\WINDOWS\g228810982.dll

O23 - Service: DefWatch - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Archivos de programa\Texas Instruments\Odyssey Client for Texas Instruments\odClientService.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe









que hago! en verdad agradeceria muchisimo me pudieran ayudar, lo he intentado todo..spyware doctor, norton, detectores de virus en internet!... y tengo que admitir que estoy desesperado...



gracias!



Atentamente

Eduardo.

[msc hotline sat]

Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED:





R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Documents%20and%20Settings/Eduardo/Mis%20documentos/Paginas%20Web/otr o%20site/INICIO_RAPIDO.htm



R3 - URLSearchHook: (no name) - {DAAB9DFB-0D6B-58EF-1400-59F07BBC6A95} - (no file)



O4 - Startup: PowerReg SchedulerV2.exe



O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab







y envienos muestra para analizar de:





C:\WINDOWS\system32\ckqbekd.dll



C:\ARCHIV~1\Yor.net\Toolbar\Toolbar.dll



SMCSTA.EXE



C:\WINDOWS\system32\FNTS~1\regsvr32.exe



C:\WINDOWS\??pPatch\?serinit.exe



PowerReg SchedulerV2.exe



C:\Archivos de programa\3M\PSN2Lite\Psn2Lite.exe



C:\WINDOWS\system32\j4l40e3qeh.dll

Unknown



C:\WINDOWS\g228810982.dll









Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.





saludos



ms, 3-10-2006