Ventanas de publicidad de xpecies.com

[santi2006]

Hola amigos, baje un programa que supuestamente me mejoraba la velocidad del emule y ahora nose que pasa que me se me Abre una publicidad de http://www.xpecies.com/, ademas el archivo system32 ahora tiene el logito del emule

[img]http://img341.imageshack.us/img341/6183/cfqe1.jpg[/img]

¿que puedo hacer?



este es el log de Hijackthis



Logfile of HijackThis v1.99.1

Scan saved at 0:48:26, on 27/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEL.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe

C:\windows\system32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\ENLTV\RemoteService\RS.exe

C:\Archivos de programa\Eset\nod32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\Archiv~1\Intern~1\iexplore.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Windows\Temp\Rar$EX00.250\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ole.com.ar/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.windowsue.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsue.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.latam.msn.com/0SEESXL/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3900 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEL.EXE /FU "C:\WINDOWS\system32\config\SYSTEM~1\CONFIG~1\Temp\E_S23C.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [TVTray] C:\ARCHIV~1\ENLTV\ENLTV\TVTray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [System32] C:\windows\system32.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [tspcm] C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Download with &DAP - C:\Archivos de programa\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Archivos de programa\DAP\dapextie2.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by12fd.bay12.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-AR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168810890703

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0A45F669-1789-4D06-AD35-FB175CD0A0FA}: NameServer = 200.51.212.7 200.51.211.7

O17 - HKLM\System\CS1\Services\Tcpip\..\{0A45F669-1789-4D06-AD35-FB175CD0A0FA}: NameServer = 200.51.212.7 200.51.211.7

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: SuperTV Pro Remote Control Service (RemoteControlService) - Unknown owner - C:\Archivos de programa\ENLTV\RemoteService\RS.exe





Espero su ayuda amigos

[msc hotline sat]

Envianos estos ficheros sospechosos para analizar:





C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEL.EXE



C:\windows\system32.exe







y elimina estas claves:





O4 - HKLM\..\Run: [System32] C:\windows\system32.exe







y fijate la cantidad de veces que tienes ejecutado el fichero que te pedimos nos envies muestra :



nod32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe

C:\WINDOWS\system32.exe



sin comentarios !



saludos



ms, 27-07-2007



nota: y mientrs, este fichero de C:\windows que pedimos muestra, renombralo a extension .VIR para que a partir del proximo reinicio no incordie !!!

[satho07]

Buenas,



tengo un problema similar al del compañero. Log de Hijackthis:



Logfile of HijackThis v1.99.1

Scan saved at 21:58:18, on 02/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)





___________





[size=200] I N T E R V E N I D O [/size]



POR



[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]



no deben mezclarse logs de 2 ordenadores en un mismo Tema.



https://foros.zonavirus.com/viewtopic.php?t=6268



Posteelo en Tema aparte, gracias



__________



Saludos y gracias

[Claudia34]

Pues mientras esperas para ver lo que dicen sobre el log que pegaste, descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp





Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Saludos.

[msc hotline sat]

y satho07, igual que al autor del Tema te pedimos nos envies el fichero C:\WINDOWS\system32.exe por entender que puede ser una variante no controlada de un malware:







->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 3-08-2007

[msc hotline sat]

Recibida muestra del SYSTEM32.EXE resulta ser un malware que pasamos a controlar con la version de hoy, 14.56, del ELISTARA



saludos



ms, 3-09-2007