virus CiD [ventanas emergentes con publicidad]

Noir · Mensaje por **Noir** » 28 Abr 2007, 23:49

creo que el titulo lo expresa bien, en fin, inicie el Elistara y scanee y me dio un log asi:

Fri Apr 27 19:01:14 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\VIJWYVIMH.EXE.Muestra EliStartPage v13.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VIJWYVIMH.EXE --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

C:\WINDOWS\DIALEREXE.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "VIJWYVIMH"="c:\windows\system32\vijwyvimh.exe vijwyvimh"

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Class, "{EA20F195-32DA-4bd6-B348-FD01FC7D3D5A}" -> C:\WINDOWS\system32\AlxTB1.dll

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Apr 27 19:18:34 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "VIJWYVIMH"="c:\windows\system32\vijwyvimh.exe vijwyvimh"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Fri Apr 27 19:18:58 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\Archivos de programa\Guitar Pro 5\rse\fx\fmod\DSP_LOWPASS.DLL --> Eliminado, Dumaru BDoor-CCT

C:\Archivos de programa\Image-Line\FL Studio 6\Plugins\Fruity\Generators\Sytrus\SYTRUS.DLL --> Eliminado, Spy.Delf (BHO)

C:\Archivos de programa\MSN Messenger\RICHED20.DLL --> Eliminado, MyWebSearch

C:\Archivos de programa\Total Video Converter\OPTIMIZEGIF.DLL --> Eliminado, KeyLogger.FL

C:\Documents and Settings\6uadalupe\Escritorio\6uada\Programs\FLYVCD.EXE --> Eliminado, Spy.Delf (BHO)

C:\WINDOWS\ADIRAS.EXE --> Eliminado, Dialer-RAS.DE

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15.INF --> Eliminado, MyWebSearch (inf)

C:\WINDOWS\system32\CDDBCONTROL.DLL --> Eliminado, ISTBar

C:\WINDOWS\system32\F3PSSAVR.SCR --> Eliminado, MyWebSearch

Sat Apr 28 16:13:55 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\VIJWYVIMH.EXE.VIR --> Eliminado.

Entrada Eliminada [HKLM\...\Run] "VIJWYVIMH"="c:\windows\system32\vijwyvimh.exe vijwyvimh"

Entrada Eliminada [HKCU\...\Run] "Instant Access"="C:\WINDOWS\system32\linkprd.exe /res"

Entrada Eliminada [HKCU\...\Run] "MyWebSearch Email Plugin"="C:\ARCHIV~1\MYWEBS~1\bar\6.bin\mwsoemon.exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Sat Apr 28 16:16:21 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Sat Apr 28 16:41:04 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Sat Apr 28 16:41:37 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

no se bien como seguir, desde ya, gracias. Y si el topic esta demas borrenlo u.u

Mensaje por **msc hotline sat** » 29 Abr 2007, 09:17

Pues como indica el Infosat, envuienos meustra de este fichero para analizar:

Por favor, envienos una muestra del fichero

C:\Muestras\VIJWYVIMH.EXE.Muestra EliStartPage v13.86

para ello recuerde:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y aparte vea lo que indicamos para el CiD:

[quote]Pero a partir de ahora, a todos los afectados por el CiD, lo primero será tratar de desinstalar el programa desde Inicio -> Panel de Control -> Agregar o Quitar programas , luego pasar el ELISTARA y por ultimo y en modo seguro, lanzar el HJT y postearnos el log resultante.
[/quote]

saludos

ms, 29-04-2007

Noir · Mensaje por **Noir** » 30 Abr 2007, 00:15

ya envie el mail, pero no me quedo claro lo de desinstalar el programa, no se a cual se refiere

Mensaje por **lucl** » 30 Abr 2007, 14:11

mira si tienes en agregar o quitar programas, alguno que se llame cid o algo relativo, que tu no conozcas , claro, saludos.

pepesan1 · Mensaje por **pepesan1** » 30 Abr 2007, 15:53

Yo tenía un programa llamado ~~[b]~~Ayuda CiD [/b]y lo desisntalé como un programa cualquiera.

Mensaje por **msc hotline sat** » 30 Abr 2007, 17:26

Y este programa, pepesan1, de ~~[b]~~Ayuda CiD [/b], qué era, el troyano instalado o algo que encontraste para desinstalarlo ???

Porque por el nombre mas bien pareec un tutorial de ayuda, pero...

A ver si podemos ayudar a Noir sobre el nombre del programa que ha de desinstalar en Agregar o Quitar Programas. De momento busca a ver si tienes esto de ~~[b]~~Ayuda CiD [/b] ???

saludos

ms, 30-04-2007

Noir · Mensaje por **Noir** » 30 Abr 2007, 22:17

no encontre ningun programa con nombre CiD, de momento voy a preguntarle bien a mis hermanos que programas anduvieron instalando

Mensaje por **msc hotline sat** » 01 May 2007, 09:37

Y este programa que dice instaló "Ayuda CiD", qué era ???

saludos

ms, 1 de mayo de 2007

Noir · Mensaje por **Noir** » 01 May 2007, 21:28

yo no dije que tenia un programa llamado "ayuda CiD", lo que si, ayer abri el win.ini y aparecia la direccion de un .gif, fui hasta donde se ubicaba y encontre que pesaba alrededor de 30 mbs, lo borre :P

Mensaje por **msc hotline sat** » 02 May 2007, 07:25

Sí, fue "pepesan1" que intervino enmedio de sus post e indicó:

"Yo tenía un programa llamado Ayuda CiD y lo desisntalé como un programa cualquiera."

Pues bueno, una vez eliminado este fichero de 30 MB, vea si persiste alguna anomalia, y nos lo comenta, gracias

Aparte, hoy analizaremos las muestras llegadas este fin de semana y esperamos que entre ellas la suya y procederemos en consecuencia

saludos

ms, 2 de mayo de 2007

Noir · Mensaje por **Noir** » 03 May 2007, 06:17

si, siguen apareciendo las ventanas de CiD u.u

Mensaje por **msc hotline sat** » 03 May 2007, 06:38

Pues aun no has posteado el log del HJT, como indicamos en el procedimiento a seguir..., venga ! baja el HJT, luego arranca en modo seguro y lanzalo, y tras reiniciar nos posteas el log:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 3 de Mayo de 2007

Noir · Mensaje por **Noir** » 04 May 2007, 05:33

xD

aca estaa

Logfile of HijackThis v1.99.1

Scan saved at 11:34:57 p.m., on 03/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\rundll32.exe

C:\Documents and Settings\Lady Noir_2\Escritorio\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Archivos de programa\GetRight\xx2gr.dll

O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Archivos de programa\Pando Networks\Pando\PandoIEPlugin.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SpywareTerminator] "C:\Archivos de programa\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Dart sign mp3 book] C:\Documents and Settings\All Users\Datos de programa\Itchhtmdartsign\skipclose.exe

O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ladynoirbluevampire.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B7D07002-7B61-4ED4-BCB5-23F79F12D304}: NameServer = 200.45.0.115,200.45.0.116

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: VCDSecS - H+H Software GmbH - C:\Archivos de programa\Virtual CD v4\System\vcdsecs.exe

Mensaje por **msc hotline sat** » 04 May 2007, 05:39

Pues es raro que el NOD32 no te detecte lo que se ve instalado, quizas se trate de nuevas variantes que algun no conoce.

Para solucionarlo, elimina estas claves:

O4 - HKLM\..\Run: [Dart sign mp3 book] C:\Documents and Settings\All Users\Datos de programa\Itchhtmdartsign\skipclose.exe

O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe

Y mira de enviarnos estos ficheros y los analizaremos:

C:\Documents and Settings\All Users\Datos de programa\Itchhtmdartsign\skipclose.exe

C:\windows\system32\p2pnetworking.exe

[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 4-05-2007

Noir · Mensaje por **Noir** » 05 May 2007, 21:42

CiD parece haber cedido, pero segun mis hermanos [que usan cuentas diferentes] dicen escuchar un sonido como de alarma, pero al parecer no es de windows

el fichero C:\windows\system32\p2pnetworking.exe no lo encontre O.o

ya les estoy enviando el otro

Mensaje por **msc hotline sat** » 05 May 2007, 21:46

En cualquier caso entre el ELISTARA y la eliminacion de claves viricas que vemos en el HJT, debe solucionarse.

Una vez recibamos las muestras las analizaremos e implementaremos su control y eliminacion en la proxima version del ELISTARA

saludos

ms, 5-5-2007

Noir · Mensaje por **Noir** » 07 May 2007, 04:46

ya les envie las muestras, espero que les haya llegado

Mensaje por **msc hotline sat** » 07 May 2007, 05:24

Pues en unas 5 horas, cuando entremos a trabajar a SATINFO, podremoa analizarlas e informaremos

saludos

ms, 7-5-2007

Mensaje por **msc hotline sat** » 07 May 2007, 17:02

Analizada la muestra enviada resulta ser una variante del Swizzor que hemos implementado en el ELISTARA de hoy, 13.90

A partir de las 20 h GMT estará subida a esta web para evaluacion:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 7-05-2007

Mensaje por **msc hotline sat** » 10 May 2007, 14:19

Nuevas muestras recibidas has sido analizadas detectandose NAVIPROMO, que pasamos a controlar con el elistara 13.93 de hoy

saludos

ms, 10-05-2007

chimov · Mensaje por **chimov** » 10 May 2007, 14:37

HE BORRADO CON EL DESINSTALADOR UN PROGRAMA QUE PONIA CID AYUDA, QUE ME HA PEDIDO UN CODIGO PARA DESINSTALARLO, PERO EL CODIGO ESTABA EN PANTALLA ALGO BORROSO, SE HA DESINSTALADO Y HE PASADO EL EliStarA 13.92 Y OS MADO EL LOG DEL hijackthis HABER QUE ME DECIS

GRACIAS , AVER SI ME QUITO YA ESTE BICHO DE POP UP

Mensaje por **lucl** » 10 May 2007, 15:00

Hola chimov, no debes usar el post de otra persona, abrete uno tuyo propio, y peganos el log de elistara y el hijackthis, pero mediante copiar pegar, del otro modo es dificil de leer, saludos.

chimov · Mensaje por **chimov** » 10 May 2007, 15:02

NO HAYN PROBLEMA

Mensaje por **msc hotline sat** » 10 May 2007, 23:33

Bueno Noir, ya puedes descargar el ELISTARA 13.93 , a ve que te dice el infosat.txt...

saludos

ms, 10-05-2007

Noir · Mensaje por **Noir** » 10 May 2007, 23:45

^^

ya lo pase

esto me dice el infosat:

Fri Apr 27 19:01:14 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\VIJWYVIMH.EXE.Muestra EliStartPage v13.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VIJWYVIMH.EXE --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

C:\WINDOWS\DIALEREXE.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "VIJWYVIMH"="c:\windows\system32\vijwyvimh.exe vijwyvimh"

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Class, "{EA20F195-32DA-4bd6-B348-FD01FC7D3D5A}" -> C:\WINDOWS\system32\AlxTB1.dll

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Apr 27 19:18:34 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "VIJWYVIMH"="c:\windows\system32\vijwyvimh.exe vijwyvimh"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Fri Apr 27 19:18:58 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\Archivos de programa\Guitar Pro 5\rse\fx\fmod\DSP_LOWPASS.DLL --> Eliminado, Dumaru BDoor-CCT

C:\Archivos de programa\Image-Line\FL Studio 6\Plugins\Fruity\Generators\Sytrus\SYTRUS.DLL --> Eliminado, Spy.Delf (BHO)

C:\Archivos de programa\MSN Messenger\RICHED20.DLL --> Eliminado, MyWebSearch

C:\Archivos de programa\Total Video Converter\OPTIMIZEGIF.DLL --> Eliminado, KeyLogger.FL

C:\Documents and Settings\6uadalupe\Escritorio\6uada\Programs\FLYVCD.EXE --> Eliminado, Spy.Delf (BHO)

C:\WINDOWS\ADIRAS.EXE --> Eliminado, Dialer-RAS.DE

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15.INF --> Eliminado, MyWebSearch (inf)

C:\WINDOWS\system32\CDDBCONTROL.DLL --> Eliminado, ISTBar

C:\WINDOWS\system32\F3PSSAVR.SCR --> Eliminado, MyWebSearch

Sat Apr 28 16:13:55 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\VIJWYVIMH.EXE.VIR --> Eliminado.

Entrada Eliminada [HKLM\...\Run] "VIJWYVIMH"="c:\windows\system32\vijwyvimh.exe vijwyvimh"

Entrada Eliminada [HKCU\...\Run] "Instant Access"="C:\WINDOWS\system32\linkprd.exe /res"

Entrada Eliminada [HKCU\...\Run] "MyWebSearch Email Plugin"="C:\ARCHIV~1\MYWEBS~1\bar\6.bin\mwsoemon.exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Sat Apr 28 16:16:21 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Sat Apr 28 16:41:04 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Sat Apr 28 16:41:37 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed May 02 16:45:00 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Thu May 10 17:21:38 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\LINKPRD.EXE --> Eliminado Dialer-InstantAccess

Eliminada Class, "{201B9B37-848F-40BD-90EA-7B8F0AA89D6A}" -> NULL1

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu May 10 17:22:59 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\All Users\Datos de programa\Itchhtmdartsign\SKIPCLOSE.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\Lady Noir\Datos de programa\Else proc delete\JJMAGDEA.EXE --> Eliminado, Swizzor(lop)

C:\Muestras\SKIPCLOSE.EXE --> Eliminado, Swizzor(lop)

C:\Muestras\VIJWYVIMH.EXE.MUESTRA ELISTARTPAGE V13.86 --> Eliminado, NaviPromo (dropper)

Mensaje por **msc hotline sat** » 11 May 2007, 07:55

Pues tras actualizar los parches que te faltan, con un windowsupdate, reinicias y nos cuentas si persiste algun problema o ya podemos dar por solucionado el Tema.

saludos

ms, 11-05-2007

Noir · Mensaje por **Noir** » 15 May 2007, 03:05

CiD volvio, ya que mi hermano anduvo visitando paginas porno

pase como 3 veces el elistara [no pregunten porque]

aqui el log

Fri Apr 27 19:01:14 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\VIJWYVIMH.EXE.Muestra EliStartPage v13.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VIJWYVIMH.EXE --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

C:\WINDOWS\DIALEREXE.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "VIJWYVIMH"="c:\windows\system32\vijwyvimh.exe vijwyvimh"

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Class, "{EA20F195-32DA-4bd6-B348-FD01FC7D3D5A}" -> C:\WINDOWS\system32\AlxTB1.dll

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Apr 27 19:18:34 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "VIJWYVIMH"="c:\windows\system32\vijwyvimh.exe vijwyvimh"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Fri Apr 27 19:18:58 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Real\Update_OB\UPGRDHLP.EXE --> Eliminado, CyDoor

C:\Archivos de programa\Guitar Pro 5\rse\fx\fmod\DSP_LOWPASS.DLL --> Eliminado, Dumaru BDoor-CCT

C:\Archivos de programa\Image-Line\FL Studio 6\Plugins\Fruity\Generators\Sytrus\SYTRUS.DLL --> Eliminado, Spy.Delf (BHO)

C:\Archivos de programa\MSN Messenger\RICHED20.DLL --> Eliminado, MyWebSearch

C:\Archivos de programa\Total Video Converter\OPTIMIZEGIF.DLL --> Eliminado, KeyLogger.FL

C:\Documents and Settings\6uadalupe\Escritorio\6uada\Programs\FLYVCD.EXE --> Eliminado, Spy.Delf (BHO)

C:\WINDOWS\ADIRAS.EXE --> Eliminado, Dialer-RAS.DE

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15.INF --> Eliminado, MyWebSearch (inf)

C:\WINDOWS\system32\CDDBCONTROL.DLL --> Eliminado, ISTBar

C:\WINDOWS\system32\F3PSSAVR.SCR --> Eliminado, MyWebSearch

Sat Apr 28 16:13:55 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\VIJWYVIMH.EXE.VIR --> Eliminado.

Entrada Eliminada [HKLM\...\Run] "VIJWYVIMH"="c:\windows\system32\vijwyvimh.exe vijwyvimh"

Entrada Eliminada [HKCU\...\Run] "Instant Access"="C:\WINDOWS\system32\linkprd.exe /res"

Entrada Eliminada [HKCU\...\Run] "MyWebSearch Email Plugin"="C:\ARCHIV~1\MYWEBS~1\bar\6.bin\mwsoemon.exe"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Sat Apr 28 16:16:21 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Sat Apr 28 16:41:04 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Sat Apr 28 16:41:37 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed May 02 16:45:00 2007

EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Thu May 10 17:21:38 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\LINKPRD.EXE --> Eliminado Dialer-InstantAccess

Eliminada Class, "{201B9B37-848F-40BD-90EA-7B8F0AA89D6A}" -> NULL1

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu May 10 17:22:59 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\All Users\Datos de programa\Itchhtmdartsign\SKIPCLOSE.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\Lady Noir\Datos de programa\Else proc delete\JJMAGDEA.EXE --> Eliminado, Swizzor(lop)

C:\Muestras\SKIPCLOSE.EXE --> Eliminado, Swizzor(lop)

C:\Muestras\VIJWYVIMH.EXE.MUESTRA ELISTARTPAGE V13.86 --> Eliminado, NaviPromo (dropper)

Sat May 12 22:55:32 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Sat May 12 23:55:44 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Lady Noir\Configuración local\Temp\STA1CF.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\Lady Noir\Datos de programa\Else proc delete\PILE UPLOAD SLOW.EXE --> Eliminado, Swizzor(lop)

Sun May 13 18:35:35 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Sun May 13 18:50:44 2007

EliStartPage v13.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

no se bien como se hace el windows update, se necesita una version original para eso, no?

Mensaje por **msc hotline sat** » 15 May 2007, 05:41

Pues ya sabe:

Pero a partir de ahora, a todos los afectados por el CiD, lo primero será tratar de desinstalar el programa desde Inicio -> Panel de Control -> Agregar o Quitar programas , luego pasar el ELISTARA y por ultimo y en modo seguro, lanzar el HJT y postearnos el log resultante.

Si ya ha hecho los dos primeros pasos, ahora posteenos el log del HJT generado habiendo arrancado en modo seguro, y lo analizaremos

Y recuerde instalar el Site Advisor de McAfee (es gratuito) y no navegar por las paginas peligrosas:
http://www.zonavirus.com/descargas/mcaf ... dvisor.asp

saludos

ms, 15-05-2007

DALUM1803 · Mensaje por **DALUM1803** » 18 May 2007, 05:15

PUES AKI ESTA MI LONG Y XFA AYUDAME ME MOLESTA EL CID
Y NO SE COMO QUITARLO

Logfile of HijackThis v1.99.1
Scan saved at 09:01:22 p.m., on 17/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe
C:\Archivos de programa\eoRezo\EoEngine.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe
C:\Archivos de programa\Mx One\mogtr.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\CursorXP\CursorXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Archivos de programa\Messenger\msmsgs.exe
c:\archiv~1\intern~1\iexplore.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\Archivos de programa\Everstrike Software\Hide Folder 3.1\HF30Service.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Archivos de programa\eoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [RaidTool] C:\Archivos de programa\VIA\RAID\raid_to
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [OrderReminder] C:\Archivos de programa\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WinMsg] C:\WINDOWS\winmsgr.exe
O4 - HKLM\..\Run: [EoEngine] "C:\Archivos de programa\eoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [log 4 balm five] C:\Documents and Settings\All Users\Datos de programa\RefDentLog4\caststop.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [C-Media Speaker Configuration] E:\drivers\controladores 2\Sound\C-Media\WinXP\Setup.exe /SPEAKER
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Archivos de programa\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Archivos de programa\Mx One\mogtr.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [CursorXP] C:\Archivos de programa\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IP Monitor] C:\Program Files\IP Viewer\prjSysTray.exe
O4 - HKCU\..\Run: [Web Knob] C:\DOCUME~1\Daniel\DATOSD~1\NURBSO~1\01 2 Bias.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {16BED5D9-AA6B-4A96-A134-C1958893490F} (VacPro.int_ver40v) - http://advnt01.com/dialer/intES_ver40v.CAB
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://dalum1803.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HF30Service - Unknown owner - C:\Archivos de programa\Everstrike Software\Hide Folder 3.1\HF30Service.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe

Mensaje por **msc hotline sat** » 18 May 2007, 05:42

Pues envienos estos ficheros para analizar:

C:\Archivos de programa\eoRezo\EoEngine.exe
C:\Archivos de programa\Mx One\mogtr.exe
C:\WINDOWS\winmsgr.exe
C:\Documents and Settings\All Users\Datos de programa\RefDentLog4\caststop.exe
C:\WINDOWS\services.exe
C:\Program Files\IP Viewer\prjSysTray.exe
C:\DOCUME~1\Daniel\DATOSD~1\NURBSO~1\01 2 Bias.exe

y elimina estas claves:

Código: Seleccionar todo

O4 - HKLM\..\Run: [log 4 balm five] C:\Documents and Settings\All Users\Datos de 
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe 
O4 - HKLM\..\Run: [WinMsg] C:\WINDOWS\winmsgr.exe
O16 - DPF: {16BED5D9-AA6B-4A96-A134-C1958893490F} (VacPro.int_ver40v) - http://advnt01.com/dialer/intES_ver40v.CAB

Para ello recordar: viewtopic.php?f=2&t=45334

Y desinstala el MSN PLUS, que es un foco de adwares !

saludos

ms, 18-05-2007

virus CiD [ventanas emergentes con publicidad]

virus CiD [ventanas emergentes con publicidad]

ENVIO DE LOG HJC

VALE LO SIENTO, ES MIM PRIMERA VES, JEJEJE