Problemas con un espía

[pasica]

Hola a tod@s. Tengo un problema con un virus o un espía que me instala una página japonesa que se llama 7667.com. Cuando lo hace la cambio a la mía de siempre y durante un rato me va bien, pero vuelve a aparecer la japonesa. Me he bajado el HijackThis, pero del informe que me da no sé qué borrar. Os pongo el informe por si me podeis ayudar. Muchas gracias por anticipado. Ah, he pasado el spybot pero ni por esas.



Logfile of HijackThis v1.99.1

Scan saved at 2:23:18, on 06/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\ltmoh\Ltmoh.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.EXE

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE

c:\archivos de programa\panda software\panda internet security 2007\WebProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Archivos de programa\Microsoft Office\Office10\WINWORD.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

D:\WinAce.exe

C:\DOCUME~1\PATRIC~1\CONFIG~1\Temp\~AceTemp\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.7667.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=3082

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=C:\WINDOWS\regedit C:\pav.reg,C:\WINDOWS\system32\userinit.exe,userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Internet System - {49E0E0F0-5C30-11D4-945D-000000007667} - C:\WINDOWS\system32\IESeven.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: isObject Class - {BE0B5843-553A-48C2-9A42-258A1D791AFC} - C:\WINDOWS\DOWNLO~1\tbcast.dll (file missing)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\Inicio.exe"

O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [LtMoh] C:\Archivos de programa\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [InvalidDelete] C:\DOCUME~1\PATRIC~1\CONFIG~1\Temp\KYE\Setup.exe /Delete C:\Archivos de programa\Genius NetScroll+ Mini Traveler Mouse

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [hclmv] C:\WINDOWS\hclmv.exe

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [BPK] C:\Windows\Command\bpk.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SD8qmol6u] C:\WINDOWS\imglb.exe

O4 - HKCU\..\Run: [WinGet.exe] C:\Archivos de programa\Indentix\WinGet\WinGet.exe /silent

O4 - HKCU\..\Run: [supervisor.exe] C:\WINDOWS\supervisor.exe

O4 - HKCU\..\Run: [Free Download Manager] C:\Archivos de programa\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [Error Safe] "C:\Archivos de programa\Error Safe Free\ers.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Creative Detector] C:\Archivos de programa\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {49E0E0F0-5C30-11D4-945D-000000007667} (Internet System) - http://www.299c.com/NetInstall.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab

O16 - DPF: {D4CBCE3D-EC46-4D76-8316-03976C19541C} (Connection Class) - http://www.databolsa.com/DatabolsaWeb/(f4ffyi45usrat231xtcc5yyn)/browserdriver.cab

O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2FDF5670-A1DD-486E-83FF-23AD33A10464}: NameServer = 80.58.61.250 80.58.61.254

O20 - AppInit_DLLs: sockspy.dll C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL, C:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL,

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda internet security 2007\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsImSvc.exe

O23 - Service: WinPPPoverEthernet - Unknown owner - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE (file missing)

[msc hotline sat]

Envianos estos ficheros para analizarlos:



C:\WINDOWS\hclmv.exe



C:\Windows\Command\bpk.exe



C:\WINDOWS\imglb.exe



C:\Archivos de programa\Indentix\WinGet\WinGet.exe



C:\WINDOWS\supervisor.exe









Eliminar estas claves:



R3 - Default URLSearchHook is missing



vO2 - BHO: Internet System - {49E0E0F0-5C30-11D4-945D-000000007667} - C:\WINDOWS\system32\IESeven.dll



O2 - BHO: isObject Class - {BE0B5843-553A-48C2-9A42-258A1D791AFC} - C:\WINDOWS\DOWNLO~1\tbcast.dll (file missing)



O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)



O4 - HKCU\..\Run: [Error Safe] "C:\Archivos de programa\Error Safe Free\ers.exe" /min



O16 - DPF: {49E0E0F0-5C30-11D4-945D-000000007667} (Internet System) - http://www.299c.com/NetInstall.cab





recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 6-12-2006

[pasica]

Muchas gracias por tu solución. He eliminado esas claves y parece que el problema se ha resuelto. Lo de enviar esos archivos no sé cómo hacerlo. Perdona pero soy muy novata y no tengo ni idea, así que gracias a personas como tú podemos ir tirando.



Un saludo

[ahi]

solo debes mandar un email a zonavirus@satinfo.es. con el comentario REF <tu nick> y con los archivos que debes mandar comprimidos en zip o rar.

[msc hotline sat]

Me alegra que asi sea, pero como dice "ahi" conviene que nos envies los indicados ficheros para analizarlos y proceder a controlaros y eliminarlos si procede, junto con sus claves y demas restos



saludos



ms. 8-12-2006