log hijack, falsas alertas virus y atv falso no desinstalabl

[Vanyta]

Buenas...desgraciadamente y por pava, una vez por año caigo por aca...

Esta vez ...yo solita tatrando de bajar un manual medico mientras chateaba (maldita mania la de las mujeres de hablar sin parar)acepte sin fijarme que hacia, una sarta de basura que me empezo a abrir paginas porno mientras el kasperski gritaba como poseido.

Despues de renegar un rato para callarlo y cerrar todo lo que se abrio me encontre con una barra de herramientas en el navegador que no instale..mi fondo de escritorio desaparecido, un antivirus llamado Virus isolator, que de mas esta decir que estoy segura que de antivirus no tiene nada..y dos millones de alertas molestas con link a paginas de antivirus marca pirulo (no digo pichicho para que el perro no se me ofenda). Mi pc esta medio anarquista...y parece que no soy el administrador ...

En fin..tambien tengo en el escritorio varios exe nuevos, una carpetita que dice virii...y no recuerdo si algo mas...

Yo hasta ahora procedi asi..:

reinicie en modo a prueba de fallos..

pase el ad aware me tira un error

pase el spybotsd

pase el kaspersky que tengo.. a veces em tira error tb

con esto pude cambiar e lfondo de escritorio y desaparecio esa barra de herramientas, pero inernet sigue lento, los exe todavia estan y el virus isolator con las alertas a cada rato siguen estando...

les paso el log del hijack:



Logfile of HijackThis v1.99.1

Scan saved at 03:53:25 p.m., on 23/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\All Users\Datos de programa\mzchibcb\axetungl.exe

C:\WINDOWS\vsnpstd2.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\kbmjojyx.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\VANE\CONFIG~1\Temp\Rar$EX05.234\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ar.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lanacion.com.ar/entretenimientos/horoscopo.asp?origen=msn#4

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {C3F37ECA-A8D9-4633-92C6-FE24C7D16ABA} - C:\WINDOWS\system32\geBqoPFy.dll (file missing)

O2 - BHO: (no name) - {D220F537-C1E3-496B-BAC6-BAFF6FDF2463} - C:\WINDOWS\system32\vtULFXRJ.dll (file missing)

O3 - Toolbar: dpevflbg - {838B6BFB-94D5-4C3F-851C-EEBF6108BDA8} - C:\WINDOWS\dpevflbg.dll (file missing)

O4 - HKLM\..\Run: [kav] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [VirusIsolator.exe] C:\Archivos de programa\VirusIsolator\VirusIsolator.exe

O4 - Global Startup: ScheduleTV.lnk = C:\Archivos de programa\honestech\honestech TVR\scheduleTV.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} -

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} (CSEQueryObject Object) - http://www.myheritage.com/Genoogle/Components/ActiveX/SearchEngineQuery.dll

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://vanytad.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CA11EB7C-1C85-4577-8A49-9E28EFB30184} -

O17 - HKLM\System\CCS\Services\Tcpip\..\{979A476D-1DF7-452F-8960-C7F9AEA9AD92}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{C72BFA0E-D58C-42EC-9AFE-DB25630CC880}: NameServer = 192.168.1.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\WINDOWS\

O20 - Winlogon Notify: geBqoPFy - geBqoPFy.dll (file missing)

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O21 - SSODL: wdpoefan - {5396C9BD-49CC-4B2C-878C-E4F18B2ACFE2} - C:\WINDOWS\wdpoefan.dll (file missing)

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Unknown owner - C:\Archivos de programa\iPod\bin\iPodService.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe



espero ayuda!! desde ya gracias!!!

PD: internet va a paso de tortuga

[msc hotline sat]

De entrada envianos estos ficheros sospechosos para analizar:



C:\Documents and Settings\All Users\Datos de programa\mzchibcb\axetungl.exe



C:\WINDOWS\system32\kbmjojyx.exe



C:\Archivos de programa\VirusIsolator\VirusIsolator.exe







y estos que podrian estar ocultos, o haber sido borrados:



C:\WINDOWS\system32\geBqoPFy.dll



C:\WINDOWS\system32\vtULFXRJ.dll



C:\WINDOWS\dpevflbg.dll



C:\WINDOWS\system32\geBqoPFy.dll



C:\WINDOWS\wdpoefan.dll





mira si los encuentras, siguiendo las indicaciones de:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





y en tal caso nos lo envias tambien:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Y cuando las recibamos, las analizaremos e informaremos



saludos



ms, 24-04-2008