Tengo trojan.Win32.boh.g y Win32.VBStart.h (SOLUCIONADO)

jamema · Mensaje por **jamema** » 24 Nov 2006, 00:24

Todo empezó cuando en un momento dado con el explorer no podía abrir vínculos a otras ventanas, es decir cuando cliqueaba en un vínculo, todo se cerraba y listo.

Descargue la versión 7 de I.Exp. y todo parecia ir bien, pero empezarona abrirse de vez encuando ventanas de publicidad, etc.

Tenia el Norton caducado hace pocos meses, que no detecta nada. instalo varios antivirus gratuitos y me encuentro gran cantidad spias, trojan, etc. poco a poco los elimino, pero lo por ahora el kasperky on line me detecta estos dos trojas indicados.

el spy sweeper otro trojan y varios aware, pero no limpia nada.

Esta rulando el Elistara que he leido en varios mensajes que es de lo primero que recomendais.

He bajado el Hijackthis y he leido buetras recomendaciones.

Por donde puedo continuar, no tengo ni idea del tema, asi que espero que seais pacientes... :? :?

Mensaje por **msc hotline sat** » 24 Nov 2006, 07:16

Pues posteandonos el log que ha generado el HJT

saludos

ms, 24-11-2006

jamema · Mensaje por **jamema** » 24 Nov 2006, 18:10

He pasado spybot y ha detectado y limpiado algunos espias

He pasado Elistara y también limpió algo

Pero parece que he quitado algo importante por que me aparecia error en explorer.exe y se cerraba toda la ventana.

He restaurado sistema y parece que todo va bien.

Siguen apareciendo ventanas de publicidad en el explorador, pero ya no muestra su contenido.

Al reiniciar windos configuró el cleanup???

Pego el log de Hjt a ver que veis en este lio.

Logfile of HijackThis v1.99.1

Scan saved at 18:06:34, on 24/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Aladdin Systems\Internet Cleanup\icserv.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE

C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

C:\WINDOWS\system32\wuauclt.exe

C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Archivos de programa\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [SynTPEnh] "C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe"

O4 - HKLM\..\Run: [hpWirelessAssistant] "C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [HijackThis startup scan] "C:\hijackthis\HijackThis.exe" /startupscan

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O15 - Trusted Zone: http://mail.grupogdt.com

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B86621C0-E051-4B73-B66C-051A1C30E132}: NameServer = 62.36.225.150,62.37.228.20

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: C:\WINDOWS\system32\chkntfs.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Firewall service (FWSvc) - Unknown owner - C:\Archivos de programa\WinAntiVirus Pro 2006\FWSvc.exe (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: icservice - Aladdin Systems, Inc. - C:\Archivos de programa\Aladdin Systems\Internet Cleanup\icserv.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Mensaje por **msc hotline sat** » 24 Nov 2006, 18:37

elimine estas claves:

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O23 - Service: Firewall service (FWSvc) - Unknown owner - C:\Archivos de programa\WinAntiVirus Pro 2006\FWSvc.exe (file missing)

recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 24-11-2006

jamema · Mensaje por **jamema** » 26 Nov 2006, 15:40

he borrado el primero

el segundo no se elimina con el fix checked

he intentado reiniciar en modo seguro pero se queda bloqueado

he intentado desde msconfig pero igual (he estado casi dos horas para conseguir que vuelva a entrar en windows)

creo que tendría que quitar los antivirus que tengo y poner alguno que me funcione ¿cual me aconsejas?

pego el nuevo log

Logfile of HijackThis v1.99.1

Scan saved at 15:38:21, on 26/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Aladdin Systems\Internet Cleanup\icserv.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Archivos de programa\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [SynTPEnh] "C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe"

O4 - HKLM\..\Run: [hpWirelessAssistant] "C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKCU\..\Run: [HijackThis startup scan] "C:\hijackthis\HijackThis.exe" /startupscan

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O15 - Trusted Zone: http://mail.grupogdt.com

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B86621C0-E051-4B73-B66C-051A1C30E132}: NameServer = 62.36.225.150,62.37.228.20

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: C:\WINDOWS\system32\chkntfs.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Firewall service (FWSvc) - Unknown owner - C:\Archivos de programa\WinAntiVirus Pro 2006\FWSvc.exe (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: icservice - Aladdin Systems, Inc. - C:\Archivos de programa\Aladdin Systems\Internet Cleanup\icserv.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Por donde puedo seguir?

Mensaje por **msc hotline sat** » 26 Nov 2006, 18:52

Aun persisten las dos claves indicadas !

Pruebe el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 26-11-2006

nota: y puede desinstalar todos los anticirus que tenga y luego instale uno solo, el que prefiera.

jamema · Mensaje por **jamema** » 27 Nov 2006, 01:14

Thu Nov 23 23:44:44 2006

EliStartPage v11.47 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BKTFP]

Por favor, envienos una muestra del fichero

C:\WinLogon\BKTFP.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WRNOTIFIER]

Por favor, envienos una muestra del fichero

C:\WinLogon\WRLOGONNTF.DLL

a "virus@satinfo.es". Gracias.

Thu Nov 23 23:54:52 2006

EliStartPage v11.47 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BKTFP]

Por favor, envienos una muestra del fichero

C:\WinLogon\BKTFP.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WRNOTIFIER]

Por favor, envienos una muestra del fichero

C:\WinLogon\WRLOGONNTF.DLL

a "virus@satinfo.es". Gracias.

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Nov 24 00:03:38 2006

EliStartPage v11.47 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Sonic\Express Labeler 2\STAX.EXE --> Eliminado, InstaFinder (BHO)

Sun Nov 26 23:47:24 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BKTFP]

Por favor, envienos una muestra del fichero

C:\WinLogon\BKTFP.DLL

a "virus@satinfo.es". Gracias.

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Nov 26 23:49:15 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Common Files\Companion Wizard\WAPCHK.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\Archivos de programa\Microsoft Works\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\Archivos de programa\Microsoft Works\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\SWSETUP\MSWorks\SP\PFiles\MSWorks\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\SWSETUP\MSWorks\SP\PFiles\MSWorks\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sun Nov 26 23:56:45 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BKTFP]

Por favor, envienos una muestra del fichero

C:\WinLogon\BKTFP.DLL

a "virus@satinfo.es". Gracias.

Eliminados Ficheros Temporales del IE

Sun Nov 26 23:58:03 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Instalada Utilidad "ELINOTIF.DLL"

Sun Nov 26 23:58:11 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BKTFP]

Por favor, envienos una muestra del fichero

C:\WinLogon\BKTFP.DLL

a "virus@satinfo.es". Gracias.

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.6.11.14 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\bktfp"

Elininado BHO: "{FE008A25-E2BC-4A2D-85A8-F77D576A29AD}"

Elininada Class: "{FE008A25-E2BC-4A2D-85A8-F77D576A29AD}"

Desinstalado EliNotif.dll

Mon Nov 27 00:01:54 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BKTFP]

Por favor, envienos una muestra del fichero

C:\WinLogon\BKTFP.DLL

a "virus@satinfo.es". Gracias.

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Nov 27 00:08:18 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Instalada Utilidad "ELINOTIF.DLL"

siguen saliendo páginas de publicidad winantivirus...

El mensaje final dice que tengo el sistema infectado pro VUNDO?

Que puedo hacer??

Mensaje por **msc hotline sat** » 27 Nov 2006, 06:18

Por favor, envienos una muestra del fichero

C:\WinLogon\BKTFP.DLL

Lo has hecho?

recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 27-11-2006

jamema · Mensaje por **jamema** » 27 Nov 2006, 21:48

ok envido a vuestra dirección.

De vez en cuando sale un mensaje de error de sistema

que describo a continuación:

iedw.exe no puede encorntrar componente

error al iniciar la aplicación porque no encontro dbghelp.dll la reinstalación de la aplicación puede solucionar el problema.

He desistalado el Norton, y varios antivirus bajados de internet, pero como tuve que restaurar el sistema puede que algo este mal desistalado.

Recuerdo que no puedo reiniciar en modo seguro, se queda bloqueado tras solicitar entrar como administrador o como usuario. Esto puede acarrear problemas en el futuro?

Mensaje por **msc hotline sat** » 28 Nov 2006, 08:36

La aplicacion iedw.exe es para deteccion de fallos del I.E. y lo que parece que le falta es la DLL, bajela de:

http://www.dll-files.com/dllindex/dll-files.shtml?dbghelp

y copiela en la carpeta de sistema

saludos

ms, 28-11-2006

jamema · Mensaje por **jamema** » 29 Nov 2006, 00:09

Ok. he bajado el dll y el error ha cambiado, ya no identifica al archivo, sino que directamente sale el mensaje de error en explorer y al cerrar la ventana me cierra todas las ventanas del explorador.

Parece que por fin, el spybot, el elistar, u otro ha borrado las entradas que me comentó en el mensaje anterior:

jamema · Mensaje por **jamema** » 29 Nov 2006, 00:16

(Continuo) se me cerró el explorer...

Logfile of HijackThis v1.99.1

Scan saved at 22:49:40, on 28/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\Archivos de programa\Aladdin Systems\Internet Cleanup\icserv.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Archivos de programa\Outlook Express\msimn.exe"

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\opngstsb.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ICHlprObj Class - {1f0c8547-2639-4c91-b8aa-c7eca24c3163} - C:\ARCHIV~1\ALADDI~1\INTERN~1\IC3hlpr.dll

O2 - BHO: PopupFilter Class - {1F2E844B-8211-46ff-8262-772F03295CF4} - C:\ARCHIV~1\ALADDI~1\INTERN~1\PopFiltr.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O2 - BHO: (no name) - {E3567549-7422-4925-8C4B-A6D81335227A} - (no file)

O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\qwlngdai.dll

O4 - HKLM\..\Run: [SynTPEnh] "C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe"

O4 - HKLM\..\Run: [hpWirelessAssistant] "C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [HijackThis startup scan] "C:\hijackthis\HijackThis.exe" /startupscan

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B86621C0-E051-4B73-B66C-051A1C30E132}: NameServer = 62.36.225.150,62.37.228.20

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: winzdn32 - winzdn32.dll (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: icservice - Aladdin Systems, Inc. - C:\Archivos de programa\Aladdin Systems\Internet Cleanup\icserv.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Intentaré volver a intalar explorer 7 a ver si se soluciona.

Me siguen apareciendo páginas de publicidad, de una ipod, de viajes, incluso de microsoft???

Gracias por su tiempo, gente tan generosa es dificil de encontar.

Mensaje por **msc hotline sat** » 29 Nov 2006, 11:11

Cuando no se refiera al EXPLORER de windows, el EXLORER.EXE sino al navegador, Internet Exporer, mejor que no le llame explorer, sino navegdor o I.E. o Iexplore.exe o Intyernet Explorer, pero no EXPLORER a secas, porque como tal no se reconoce al navegador de Internet, sino al original explorador de windows

Analizado el log, cabe indicar:

Rnbiarmos miestra para analizar de:

C:\WINDOWS\system32\opngstsb.dll

correspondiente a:

O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\opngstsb.dll

recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Eliminar claves:

O2 - BHO: (no name) - {E3567549-7422-4925-8C4B-A6D81335227A} - (no file)

O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\qwlngdai.dll

O20 - Winlogon Notify: winzdn32 - winzdn32.dll (file missing)

saludos

ms. 29-11-2006

jamema · Mensaje por **jamema** » 29 Nov 2006, 19:08

Disculpe mi torpeza, gracias por corregirme.

Siempre me he referido al internet explorer.

Por fin he podido reiniciar en modo seguro y he eliminado las claves que me indica.

Pero el archivo que me comenta para su estudio no lo encuentro en la ruta C:\windows\system32\opngstsb.dll

lo he intentado con el buscador del explorer (este si el de windows) y nada.

Pego nuevo log

Logfile of HijackThis v1.99.1

Scan saved at 17:58:12, on 29/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\opngstsb.dll (file missing)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: ICHlprObj Class - {1f0c8547-2639-4c91-b8aa-c7eca24c3163} - C:\ARCHIV~1\ALADDI~1\INTERN~1\IC3hlpr.dll

O2 - BHO: PopupFilter Class - {1F2E844B-8211-46ff-8262-772F03295CF4} - C:\ARCHIV~1\ALADDI~1\INTERN~1\PopFiltr.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_08\bin\ssv.dll

O4 - HKLM\..\Run: [SynTPEnh] "C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe"

O4 - HKLM\..\Run: [hpWirelessAssistant] "C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B86621C0-E051-4B73-B66C-051A1C30E132}: NameServer = 62.36.225.150,62.37.228.20

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: icservice - Aladdin Systems, Inc. - C:\Archivos de programa\Aladdin Systems\Internet Cleanup\icserv.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: Machine Debug Manager (MDM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

Llevo como media hora sin que salgan ventanas de publicidad y sin que me aparezca el erro comentado anterior mente.

Gracias de nuevo.

Mensaje por **msc hotline sat** » 29 Nov 2006, 19:12

Arrancar en modo seguro, lanzar el HJT, marcar la casilla izquierda de esta clave y eliminarla con FIX CHECKED

O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\opngstsb.dll (file missing)

saludos

ms, 29-11-2006

jamema · Mensaje por **jamema** » 02 Dic 2006, 00:39

Por fin parece que he vuelto a la normalidad

He borrado la entrada que me indica.

Ya puedo navegar bien y no me salen errores

Un saludo y gracias por todo

Mensaje por **msc hotline sat** » 02 Dic 2006, 12:16

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 2-12-2006