Paginas emergentes y no funciona reproductor

[belsebu]

Hola amigos, tengo un par de problemillas, cuando me conecto a internet, se me abren paginas de propaganda, tengo activado lo de los mensajer emergentes y todo sigue igual y el reproductor windows media player no me va bien, cuando abro una pelicula solo puedo escuchar el sonido, la imagen no sale, he instalado y desinstalado el reproductor mil veces y todo sigue igual y he hecho lo mismo con los codecs, ya no se que mas hacer, asi que os dejo mi log a ver si veis algo raro. Muchas gracias amigos.





Logfile of HijackThis v1.99.1

Scan saved at 18:57:18, on 17/11/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\documents and settings\administrador\configuración local\datos de programa\csgqi.exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

C:\Archivos de programa\SlySoft\AnyDVD\_AnyDVDtray.exe

C:\Archivos de programa\Azureus\Azureus.exe

C:\GEXTOR2000\Gextor.exe

C:\GEXTOR2000\Gext2000.EXE

C:\ANTONIO\Hijacthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\es\msntb.dll

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [NSLauncher] C:\Archivos de programa\Nokia\Nokia Software Launcher\NSLauncher.exe /startup

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [csgqi] "c:\documents and settings\administrador\configuración local\datos de programa\csgqi.exe" csgqi

O4 - HKCU\..\Run: [AnyDVD] C:\Archivos de programa\SlySoft\AnyDVD\_AnyDVDtray.exe

O4 - Startup: desktop(2)(2).ini

O4 - Startup: desktop(2).ini

O4 - Startup: Herramienta de búsqueda de soportes de Picture Motion Browser.lnk = C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: desktop(2)(2).ini

O4 - Global Startup: desktop(2).ini

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Picture Package Menu.lnk = ?

O4 - Global Startup: Picture Package VCD Maker.lnk = ?

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Web Rebates. - file://C:\Archivos de programa\WebRebates4\websrebates\webtrebates\toprC0.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - http://www.ntrsupport.com/inquiero/mod/setup/ntractivex118_28.cab

O16 - DPF: {F11BFF96-CC7A-4482-819B-91EAE4C454EF} (NTR ActiveX 1.1.6) - http://www.inquiero.com/inquiero/mod/setup/ntractivex116_14.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5A6213E1-7EBD-4918-A99A-CD198CDE40A6}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{629D7724-3F79-45B4-9AF5-DB4E82681CF4}: NameServer = 80.58.0.33,80.58.96.90

O17 - HKLM\System\CS1\Services\Tcpip\..\{5A6213E1-7EBD-4918-A99A-CD198CDE40A6}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{5A6213E1-7EBD-4918-A99A-CD198CDE40A6}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ewido anti-spyware 4.0 guard - Unknown owner - C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

[msc hotline sat]

Estos ficheros no los conocemos. Si no has sido instalados voluntariamente, envianoslos para analizar:





C:\documents and settings\administrador\configuración local\datos de programa\csgqi.exe



C:\GEXTOR2000\Gextor.exe



C:\GEXTOR2000\Gext2000.EXE



C:\Archivos de programa\WebRebates4\websrebates\webtrebates\toprC0.htm







Aparte prueba el ELISTARA y nos posteas el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 17-11-2008

[belsebu]

Hola amigo, gracias por vuestras rapidas respuestas. Deciros que los archivos de gextor son el programa de gestion y contabilidad que uso en el trabajo pero los otro dos archivos no se de que son. Aqui os dejo el txt que ha generado el elistara. Espero que os sirva de algo.





Tue Nov 18 09:12:11 2008

EliStartPage v17.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\CSGQI.EXE.Muestra EliStartPage v17.43

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\CSGQI.EXE --> Eliminado

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\CSGQI.DAT --> Eliminado

Entrada Eliminada [HKCU\...\Run] "CSGQI"=""c:\documents and settings\administrador\configuración local\datos de programa\csgqi.exe" csgqi"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Nov 18 09:13:50 2008

EliStartPage v17.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Antonio\Disco duro Ordenador Antonio M\incoming\ircap\MIRC.EXE --> Eliminado, mIRC(chat)

C:\Archivos de programa\Antonio\Disco duro Ordenador Antonio M\Utilidades\Navegadores\Tom Tom 04-07-08 autoinstalable\FOTOS BODA.EXE --> Infectado, Dropper(ConHook)

C:\Archivos de programa\Antonio\Disco duro Ordenador Antonio M\Utilidades\Navegadores\Tom Tom 04-07-08 autoinstalable\TOMTOM+MAPAS+RADARES+POIS+VOCES(FUNCIONA CON ANTENA INTERNA).EXE --> Infectado, Dropper(ConHook)

C:\Archivos de programa\Antonio\Disco duro Ordenador Antonio M\Utilidades\Navegadores\Tom Tom 04-07-08 autoinstalable\Fluidez\AUTOINSTALADOR VOCES TOMTOM.EXE --> Infectado, Dropper(ConHook)

C:\Archivos de programa\Antonio\Disco duro Ordenador Antonio M\Utilidades\Navegadores\Tom Tom 16-10-08 autoinstalable\FOTOS TOMY.EXE --> Infectado, Dropper(ConHook)



Nº Total de Directorios: 7754

Nº Total de Ficheros: 105794

Nº de Ficheros Analizados: 25791

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues ya ves lo que se te dice en el infosat:



Por favor, envienos una muestra del fichero

C:\Muestras\CSGQI.EXE.Muestra EliStartPage v17.43



Tras recibirla la analizaremos e informaremos



saludos



ms, 18-11-2008







NOTA: Ademas, tiene mala prensa ... http://spywarefiles.prevx.com/spywarefiles.asp?FXC=DHBH033313840 :wink: ms.

[belsebu]

Amigos deciros que con el elistara se ha arreglado lo de las paginas emergentes, y el archivo que me dices no se como enviartelo, no lo he hecho nunca, si me lo puedes esplicar te lo envio.

[belsebu]

Ah se me olvidada, el reproductor sigue sin funcionarme y ya no se que mas hacer, a ver si alguno teneis alguna solucion que me pueda ayudar, muchas gracias.

[msc hotline sat]

Por si acaso fuera malware, envianoslo a traves del boton de envio de muestras que aparece arriba a la derecha.



Y sino mira en :



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Así irás practicando, y mucho mejor sin nervios al ya haber solucionado el problema.



saludos



ms, 20-11-2008

[belsebu]

Amigos comentaros que el archivo C:\Muestras\CSGQI.EXE.Muestra EliStartPage v17.43

ha sido eliminado por mi antivirus al saltarme la alarma de virus, asi que no voy a poder enviaros el archivo. Muchas gracias por vuestra ayuda, solo tengo el problema del reproductor que no rula, seguire investigando.

[msc hotline sat]

Pues señal que ibamos por el buen camino, pero si lo has eliminado, sin muestra no podemos ver lqué claves modificaba para poder restaurarlas...



En consecuencia damos por terminado el Tema y procedemos a cerrarlo



saludos



ms, 26-11-2008