muchos popups, no abre administrador de tareas (Solucionado)

floopo · Mensaje por **floopo** » 16 Dic 2004, 19:57

Hola, vamos a ver el problema es el siguiente cada vez que abro el internet explorer se me abren multiples popups y no me deja abrir ni el administrador de tareas y tambien se me queda colgadisimo se que el disco duro trabajando le he pasado el hijacthis y el resultado del log es este:

Logfile of HijackThis v1.98.2

Scan saved at 19:32:17, on 16/12/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\tcpsvcs.exe

C:\ARCHIVOS DE PROGRAMA\SERV-U\Serv-U32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\slserv.exe

C:\WINNT\System32\TSIRCSRV.EXE

C:\WINNT\system32\CAPM1RSK.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Archivos de programa\ORL\VNC\WinVNC.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\sllights.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\TSI32\tsircusr.exe

C:\WINNT\system32\svchost.exe

c:\fp-win\F-StopW.exe

c:\fp-win\FP-Win.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHED.EXE

D:\Avirmail\AvirMail.exe

C:\Archivos de programa\SED\SED.exe

C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHENG.EXE

C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE

C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1SWK.EXE

C:\Documents and Settings\administrador.SOTO\Escritorio\Eliminar virus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Archivos de programa\IEMenuExtension\tbextn.dll

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\ORL\VNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [LapLink Scheduler] "C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHED.EXE"

O4 - HKLM\..\Run: [AvirMail] D:\Avirmail\AvirMail.exe

O4 - HKLM\..\Run: [AttuneClientEngine] C:\ARCHIV~1\Aveo\Attune\bin\attune_ce.exe

O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\ARCHIV~1\IEMENU~1\tbextn.dll" DllShowTB

O4 - HKLM\..\Run: [SESync] "C:\Archivos de programa\SED\SED.exe"

O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Ventana de estado de Canon PC1200 iC D600 iR1200G.LNK = C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{7BED1260-87D6-484F-BAC4-AE4C923F9521}: NameServer = 81.24.162.9,81.24.162.5,195.235.96.90

O17 - HKLM\System\CCS\Services\Tcpip\..\{E46AAFE7-22EA-4D1F-B93C-1E360B3A0347}: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{E46AAFE7-22EA-4D1F-B93C-1E360B3A0347}: NameServer = 172.16.22.5,81.24.162.9

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O21 - SSODL: Web Event Logger - {7EFBAEFF-EE02-1333-ABDF-416572E5D639} - C:\WINNT\system32\Egcfpaeb.dll

Si veis algo que no deba de estar ahi o algo decidmelo, ya le pase el ad-aware. Bueno espero contestacion, gracias.

Mensaje por **msc hotline sat** » 16 Dic 2004, 20:06

Ante todo descargate el nuevo HJT y danos su log, mucho mas informativo:

https://foros.zonavirus.com/viewtopic.php?t=4441&start=15

Pero antes, descargate un antispyware y lo lanzas habiendo arrancado en modo seguro, para eliminar lo posible. El HJT debe usarse como utilidad para lo no controlado:

https://foros.zonavirus.com/viewtopic.php?t=36

saludos

ms, 16-12-2004

fircsix · Mensaje por **fircsix** » 17 Dic 2004, 02:42

Pasale estas utilidades Antispyware en modo seguro deshabilitando restaurar sistema que encontraras en este link

Saludos.

fircsix

floopo · Mensaje por **floopo** » 20 Dic 2004, 11:02

A ver le he pasado ya todo y las utilidades de la pagina en modo seguro y tal, pero no se qeda fino, os pongo aqui el log del hijackthis a ver que veis, gracias.

Logfile of HijackThis v1.99.0

Scan saved at 10:53:35, on 20/12/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\ARCHIVOS DE PROGRAMA\SERV-U\Serv-U32.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\slserv.exe

C:\WINNT\System32\TSIRCSRV.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\CAPM1RSK.EXE

C:\Archivos de programa\ORL\VNC\WinVNC.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\sllights.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\TSI32\tsircusr.exe

c:\fp-win\F-StopW.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHED.EXE

D:\Avirmail\AvirMail.exe

C:\Archivos de programa\SED\SED.exe

C:\WINNT\system32\?hkntfs.exe

C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE

C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1SWK.EXE

C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHENG.EXE

C:\Documents and Settings\gerenciacordoba2\Escritorio\Desinfeccion Spyware\Desinfeccion Spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elmundo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\ORL\VNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [LapLink Scheduler] "C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHED.EXE"

O4 - HKLM\..\Run: [AvirMail] D:\Avirmail\AvirMail.exe

O4 - HKLM\..\Run: [AttuneClientEngine] C:\ARCHIV~1\Aveo\Attune\bin\attune_ce.exe

O4 - HKLM\..\Run: [SESync] "C:\Archivos de programa\SED\SED.exe"

O4 - HKCU\..\Run: [Suie] C:\Documents and Settings\gerenciacordoba2\Datos de programa\lrnr.exe

O4 - HKCU\..\Run: [Omrnw] C:\WINNT\system32\?hkntfs.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Ventana de estado de Canon PC1200 iC D600 iR1200G.LNK = C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted IP range: 69.50.161.82

O15 - Trusted IP range: 69.50.161.82 (HKLM)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{7BED1260-87D6-484F-BAC4-AE4C923F9521}: NameServer = 81.24.162.9,81.24.162.5,195.235.96.90

O17 - HKLM\System\CCS\Services\Tcpip\..\{E46AAFE7-22EA-4D1F-B93C-1E360B3A0347}: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{E46AAFE7-22EA-4D1F-B93C-1E360B3A0347}: NameServer = 172.16.22.5,81.24.162.9

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe

O23 - Service: AutoExNT - Unknown - C:\WINNT\system32\AutoExNT.Exe

O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe

O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe

O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe

O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: TSI Remote Control Service - Unknown - C:\WINNT\System32\TSIRCSRV.EXE

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: VNC Server - AT&T Research Labs Cambridge - C:\Archivos de programa\ORL\VNC\WinVNC.exe

O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe

Mensaje por **maura63** » 20 Dic 2004, 11:13

Has pasado esta utilidad antes de borrar nada :?:

CWSHREDDER 2.0

http://www.softpedia.com/public/cat/10/17/10-17-150.shtml

Saludos

maura63

Mensaje por **msc hotline sat** » 20 Dic 2004, 11:24

Tienes muchos servicios en marcha de origen desconocido, (UNKNOW). Los que no hayas instalado y no conozcas, marcalos y dale a fix para que te los elimine, pero bajo tu responsabilidad.

Por otro lado tienes mas herramientas que controlan todo lo conocido, en:

https://foros.zonavirus.com/viewtopic.php?t=36

saludos

ms, 20-12-2004

floopo · Mensaje por **floopo** » 20 Dic 2004, 11:34

Le acabo de pasar la utilidad que me has dicho y me da como resultado que tengo:

CWS.Bootconf

y

CWS.Svchost32

Le doy a remove pero cuando le vuelvo a pasar el mismo programa me los vuelve a encontrar.

Sigo en vuestras manos. A, y no puedo borrar las entradas que no haya instalado por que es que el equipo no es mio, y no se si hay algun servicio de esos que utilice algun programa. a ver si con lo que me ha encontrado el CWSHREDDER 2.0 se arregla la cosa, ¿como los puedo eliminar definitavemente?

Mensaje por **maura63** » 20 Dic 2004, 11:43

Pasa el cws en modo seguro y pulsa FIX.

Informacion

Variant 2: CWS.Bootconf - Evolution

Approx date first sighted: July 6, 2003

Log reference: http://forums.spywareinfo.com/index.php?showtopic=7821

Symptoms: Massive IE slowdown, illegible URLs ie IE Options, redirections when mistyping URLs, startpage & search page changed on reboot

Cleverness: 8/10

Manual removal difficulty: Involves some Registry editing

Identifying lines in HijackThis log:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://%77%77%77%2e

%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e

%63%67%69?%36%35%36%33%38%37

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://%77%77%77%2e%63

%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%63/%78%31%2e

%63%67%69?%36%35%36%33%38%37

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://%77%77%77%2e%

63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%62/%78%31%2e

%63%67%69?%36%35%36%33%38%37

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://%77%77%77%2e

%63%6f%6f%6c%77%77%77%73%65%61%72%63%68%2e%63%6f%6d/%7a/%61/%78%31%2e

%63%67%69?%36%35%36%33%38%37 about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page=http://yourbookmarks.ws/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default)=http://www.searchxp.com/search.php?qq=%s

O1 - Hosts: 1123694712 auto.search.msn.com

O4 - HKLM\..\Run: [sysPnP] C:\WINNT\System32\bootconf.exe

O19 - User stylesheet: C:\WINNT\default.css

After HijackThis had built-in support for decrypting the URLS:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.coolwwwsearch.com/z/b/x1.cgi?100 (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.jetseeker.com/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.coolwwwsearch.com/z/c/x1.cgi?100 (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.coolwwwsearch.com/z/a/x1.cgi?100 (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchv.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.jetseeker.com/ffeed.php?term=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://search.xrenoder.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://search.xrenoder.com

The second variant seemed like the first one in only one way: it used the exact same .css stylesheet file. But it took the hijack one step further by not only changing the IE startpage and search pages, but changing them to illegible hexcode garbage.

Only when this code was decyphered it became clear that CoolWebSearch was behind this all. It almost seemed as if they let Datanotary take the stylesheet exploit hijack for a test ride, before using it themselves.

The hijack further involved redirecting the default 'server not found' page to the CoolWebSearch portal homepage by editing the Hosts file, and reloading the entire hijack when the machine was rebooted using a bootconf.exe file that was started with Windows. We also started to see some pages which seemed affiliates of CWS since almost all their links led to http://www.coolwebsearch.com.

Saludos

maura63

Mensaje por **msc hotline sat** » 20 Dic 2004, 12:12

Con el CWS, si lo pasas habiendo arrancado en modo seguro, y deshabilitada la restauracion de sistema, no debe haber problema en eliminacion, creo que es pulsando en FIX.

Asegurate de que lo haces arrancandi de este modo

saludos

ms, 20-12-2004

floopo · Mensaje por **floopo** » 20 Dic 2004, 13:10

Le he pasado eso en modo seguro pero y me lo ha borrado, pero cuando le paso el ad-aware (siempre lo paso todo en modo seguro) me dice qe hay archivos qe no puede eliminar y me dice el nombre del susodicho "virus" vx2 qe es un malware.

Seguimos para bingo.

fircsix · Mensaje por **fircsix** » 20 Dic 2004, 13:24

Descargate de nuevo el hijackthis pero esta vez guardalo en su propia carpeta (como C:/Limpiar) Haz que se te vean todos los archivos:

Hace clic en Mi PC.

Hace clic en el menú Herramientas, y después en Opciones de carpeta u Opciones.

Hace clic en la pestaña Ver.

Quita la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" selecciona "Mostrar archivos y carpetas ocultos".

Quita la marca en "Ocultar archivos protegidos del sistema operativo".

Hace clic en Aplicar, y después en Aceptar.

Utilizalo en modo normal pero antes cerra todas las aplicaciones incluso IE y mandanos un nuevo log...

Saludos.

fircsix

floopo · Mensaje por **floopo** » 20 Dic 2004, 13:45

Ahi va el log, ya le he pasado todo lo pasable en modo seguro. , el ad-aware menciona un malware (vx2) que no puede eliminar.

Logfile of HijackThis v1.99.0

Scan saved at 13:41:18, on 20/12/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\ARCHIVOS DE PROGRAMA\SERV-U\Serv-U32.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\slserv.exe

C:\WINNT\System32\TSIRCSRV.EXE

C:\WINNT\system32\CAPM1RSK.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Archivos de programa\ORL\VNC\WinVNC.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\sllights.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\TSI32\tsircusr.exe

c:\fp-win\F-StopW.exe

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHED.EXE

D:\Avirmail\AvirMail.exe

C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHENG.EXE

C:\Archivos de programa\SED\SED.exe

C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE

C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1SWK.EXE

C:\WINNT\system32\rundll32.exe

C:\WINNT\System32\MsiExec.exe

C:\WINNT\explorer.exe

C:\Documents and Settings\administrador.SOTO\Escritorio\Desinfeccion Spyware\Desinfeccion Spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\ORL\VNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [LapLink Scheduler] "C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHED.EXE"

O4 - HKLM\..\Run: [AvirMail] D:\Avirmail\AvirMail.exe

O4 - HKLM\..\Run: [AttuneClientEngine] C:\ARCHIV~1\Aveo\Attune\bin\attune_ce.exe

O4 - HKLM\..\Run: [SESync] "C:\Archivos de programa\SED\SED.exe"

O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Ventana de estado de Canon PC1200 iC D600 iR1200G.LNK = C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O15 - Trusted IP range: 69.50.161.82 (HKLM)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{7BED1260-87D6-484F-BAC4-AE4C923F9521}: NameServer = 81.24.162.9,81.24.162.5,195.235.96.90

O17 - HKLM\System\CCS\Services\Tcpip\..\{E46AAFE7-22EA-4D1F-B93C-1E360B3A0347}: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{E46AAFE7-22EA-4D1F-B93C-1E360B3A0347}: NameServer = 172.16.22.5,81.24.162.9

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe

O23 - Service: AutoExNT - Unknown - C:\WINNT\system32\AutoExNT.Exe

O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe

O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Mensajero - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Programador de tareas - Unknown - C:\WINNT\system32\MSTask.exe

O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe

O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: TSI Remote Control Service - Unknown - C:\WINNT\System32\TSIRCSRV.EXE

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Instrumental de administración de Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: VNC Server - AT&T Research Labs Cambridge - C:\Archivos de programa\ORL\VNC\WinVNC.exe

O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe

Mensaje por **msc hotline sat** » 20 Dic 2004, 14:39

Indicanos en qué fichero detecta un malware, y si quieres envianoslo a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, y lo analizaremos y si procede haremos una utilidad de eliminacion.

En cualquier caso, conocido el nombre, se busca en el log del HJT donde lo carga, si se ve, se selecciona y se le dá al FIX

Con indicarnos el nombre, facilitas la tarea y apuntas a dar, pues si no sería cuestion de probar entre algunos sospechosos, de entre varios

saludos

ms, 20-12-2004

caito · Mensaje por **caito** » 20 Dic 2004, 16:13

Creo que es una versión del CWS nueva y es muy difícil de arreglar, pero igual trataremos:

Primero vuelve a bajar el Hijack pero esta vez guárdalo en su propia carpeta ( por ej: C>Limpiar>Hijack ) es muy importante que lo hagas así para que te funcionen los respaldos ya que si borras algo de más podrás volver atrás.

Haz que se vean todos los archivos y arranca en Modo a Prueba de Fallos :

Windows 2000 no incluye por defecto la utilidad de configuración del sistema, pero en algunos casos puede haber sido instalada por el administrador. Si así fuera, siga las mismas instrucciones vistas para Windows 98/Me o Windows XP (dependerá de la versión instalada). En caso contrario, siga las instrucciones siguientes:

Cierre todos los programas.

Seleccione Inicio, Apagar el sistema.

Apague la computadora, y aguarde 30 segundos (no use el botón RESET, usted debe apagar su PC para borrar cualquier posible virus en memoria).

Encienda su PC.

Cuando aparezca la barra de Windows cargándose, pulse F8. Debería salir el menú de opciones avanzadas de Windows 2000.

Seleccione "Modo a prueba de fallas",

Para configurar Windows Me/2000 para mostrar las extensiones de los archivos:

Haga clic en Mi PC.

Haga clic en el menú Herramientas, y después en Opciones de carpeta.

Haga clic en la pestaña Ver.

Quite la marca en "Ocultar extensiones de archivo para tipos de archivo conocidos".

En la carpeta "Archivos ocultos" seleccione "Mostrar archivos y carpetas ocultos".

Quite la marca en "Ocultar archivos protegidos del sistema operativo".

Haga clic en Aplicar, y después en Aceptar.

Baja este programa para borrar archivos innecesarios :

http://www.xs4all.nl/~mp2004/

Cierra todas las aplicaciones ( incluso esta ) y lanza el hijack, dale a scan y luego a Fix a estas :

R3 - Default URLSearchHook is missing

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM\..\Run: [SESync] "C:\Archivos de programa\SED\SED.exe"

O4 - HKCU\..\Run: [Suie] C:\Documents and Settings\gerenciacordoba2\Datos de programa\lrnr.exe

O4 - HKCU\..\Run: [Omrnw] C:\WINNT\system32\?hkntfs.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted IP range: 69.50.161.82 <<-- solo si no lo conoces

O15 - Trusted IP range: 69.50.161.82 (HKLM) <<-- solo si no lo conoces

O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

Cierra el Hijack, ejecuta el Disk Cleaner y borra :

Archivos temporales de Internet,contenido carpeta Temp,cookies,historial, etc., vacía la papelera.

Elimina estos archivos si todavía existen:

C:\Documents and Settings\gerenciacordoba2\Datos de programa\lrnr.exe

C:\WINNT\system32\?hkntfs.exe

Elimina estas carpetas y todo su contenido si todavía existen:

C:\Archivos de programa\SED\

Vacía la papelera.

Reinicia normal

Ejecuta el AdAware SE y toma un nuevo log y pégalo como respuesta a este.

Salu2

Caito

floopo · Mensaje por **floopo** » 20 Dic 2004, 17:20

Gente muchas gracias que os lo estais currando mucho con el tema, pero hasta mañana no puedo seguir probando. Mañana por la mañana seguimos, hago lo ultimo que habeis puesto y pruebo a ver si sale, de todas formas salga o no salga escribire pa decir como ha ido la cosa.

Mensaje por **msc hotline sat** » 20 Dic 2004, 18:27

Al final del link que te indico en este post, tienes la informacion sobre el malware VX2 y el de descarga del parche para que el AD_AWARE pueda eliminarlo:

http://forum.gladiator-antivirus.com/index.php?s=7ecc230951fd9967d5678036faf1b0da&showtopic=16182

saludos

ms, 20-12-2004

keniaol · Mensaje por **keniaol** » 21 Dic 2004, 21:09

Si tiene problemas con los molestos mensajes POPUp durante la navegación web, te recomiendo que instales ~~[b]~~eScan Antivirus[/b], dentro de sus componentes tiene la capacidad de filtrar y bloquear los popup y no te consume ancho de banda, ademas de que mantiene tu pc segura y libre de Virus, Spyware, troyanos etc.

floopo · Mensaje por **floopo** » 22 Dic 2004, 11:18

A ver, ayer le borre todas las claves qe me poniais pero, la cosa sigue igual, le pase el programa CWShredder y me sale que tengo el cws.bootconf y el cws.svchost32, lo paso en modo a prueba de fallos y me los elimina pero cuando reinicio si lo paso otra vez vuelven a estar ahi. He mirado en una pagina web que me dice donde estan las claves en el registro de estos dos "virus", pero es que en el mio no estan. No se ya que hacer ya le he pasado de todo, he borrado medio registro y la cosa esta tomatosa, ¿que puedo hacer?

Mensaje por **maura63** » 22 Dic 2004, 11:31

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

Vuelve a pegarno el log de hijackthis.

Saludos

maura63

floopo · Mensaje por **floopo** » 28 Dic 2004, 18:48

Pues bien, despues de un tiempo sin haber podido liarme con el tema he vuelto, ya le he pasado todo lo pasable, todo lo que me habeis dicho en modo a prueba de fallos y poniendolo para qe se vean todos los archivos ocultos y tal y no hay forma se me abren popups de unos smiles sonrientes amarillos que les estoy cogiendo una incha que no veas, en fin, vuelvo a pegaros otra vez el log despues de haberselo pasado todo y haber reiniciado, aqui lo teneis, a ver que tal, espero vuestra respuesta:

Logfile of HijackThis v1.99.0

Scan saved at 18:42:04, on 28/12/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\ARCHIVOS DE PROGRAMA\SERV-U\Serv-U32.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\System32\TSIRCSRV.EXE

C:\Archivos de programa\ORL\VNC\WinVNC.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\TSI32\tsircusr.exe

c:\fp-win\F-StopW.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHED.EXE

C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHENG.EXE

C:\WINNT\regedit.exe

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elmundo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\ORL\VNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [LapLink Scheduler] "C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHED.EXE"

O4 - HKLM\..\Run: [AvirMail] D:\Avirmail\AvirMail.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Ventana de estado de Canon PC1200 iC D600 iR1200G.LNK = C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{7BED1260-87D6-484F-BAC4-AE4C923F9521}: NameServer = 81.24.162.9,81.24.162.5,195.235.96.90

O17 - HKLM\System\CCS\Services\Tcpip\..\{E46AAFE7-22EA-4D1F-B93C-1E360B3A0347}: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{E46AAFE7-22EA-4D1F-B93C-1E360B3A0347}: NameServer = 172.16.22.5,81.24.162.9

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe

O23 - Service: AutoExNT - Unknown - C:\WINNT\system32\AutoExNT.Exe

O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe

O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: TSI Remote Control Service - Unknown - C:\WINNT\System32\TSIRCSRV.EXE

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: VNC Server - AT&T Research Labs Cambridge - C:\Archivos de programa\ORL\VNC\WinVNC.exe

O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe

floopo · Mensaje por **floopo** » 28 Dic 2004, 18:48

Pues bien, despues de un tiempo sin haber podido liarme con el tema he vuelto, ya le he pasado todo lo pasable, todo lo que me habeis dicho en modo a prueba de fallos y poniendolo para qe se vean todos los archivos ocultos y tal y no hay forma se me abren popups de unos smiles sonrientes amarillos que les estoy cogiendo una incha que no veas, en fin, vuelvo a pegaros otra vez el log despues de haberselo pasado todo y haber reiniciado, aqui lo teneis, a ver que tal, espero vuestra respuesta:

Logfile of HijackThis v1.99.0

Scan saved at 18:42:04, on 28/12/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\ARCHIVOS DE PROGRAMA\SERV-U\Serv-U32.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\System32\TSIRCSRV.EXE

C:\Archivos de programa\ORL\VNC\WinVNC.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\rundll32.exe

C:\WINNT\TSI32\tsircusr.exe

c:\fp-win\F-StopW.exe

C:\WINNT\Explorer.EXE

C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHED.EXE

C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHENG.EXE

C:\WINNT\regedit.exe

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elmundo.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\ORL\VNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [LapLink Scheduler] "C:\Archivos de programa\Common Files\LapLink\Scheduler\LLSCHED.EXE"

O4 - HKLM\..\Run: [AvirMail] D:\Avirmail\AvirMail.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Ventana de estado de Canon PC1200 iC D600 iR1200G.LNK = C:\WINNT\system32\spool\drivers\w32x86\3\CAPM1LAK.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{7BED1260-87D6-484F-BAC4-AE4C923F9521}: NameServer = 81.24.162.9,81.24.162.5,195.235.96.90

O17 - HKLM\System\CCS\Services\Tcpip\..\{E46AAFE7-22EA-4D1F-B93C-1E360B3A0347}: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{E46AAFE7-22EA-4D1F-B93C-1E360B3A0347}: NameServer = 172.16.22.5,81.24.162.9

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = intranet.inmobiliariasoto.com

O23 - Service: Servicio de alerta - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Administración de aplicaciones - Unknown - C:\WINNT\system32\services.exe

O23 - Service: AutoExNT - Unknown - C:\WINNT\system32\AutoExNT.Exe

O23 - Service: Examinador de equipos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DHCP - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINNT\System32\dmadmin.exe

O23 - Service: Administrador de discos lógicos - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Cliente DNS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Servicio de fax - Unknown - C:\WINNT\system32\faxsvc.exe

O23 - Service: Servidor - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Estación de trabajo - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Servicio de ayuda TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINNT\system32\netdde.exe

O23 - Service: Inicio de sesión en red - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Proveedor de asistencia de seguridad LM de Windows NT - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Plug and Play - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Agente de directivas IPSEC - Unknown - C:\WINNT\System32\lsass.exe

O23 - Service: Almacenamiento protegido - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Administrador de cuentas de seguridad - Unknown - C:\WINNT\system32\lsass.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Servicio RunAs - Unknown - C:\WINNT\system32\services.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Cliente de seguimiento de vinculos distribuidos - Unknown - C:\WINNT\system32\services.exe

O23 - Service: TSI Remote Control Service - Unknown - C:\WINNT\System32\TSIRCSRV.EXE

O23 - Service: Administrador de utilidades - Unknown - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horario de Windows - Unknown - C:\WINNT\System32\services.exe

O23 - Service: VNC Server - AT&T Research Labs Cambridge - C:\Archivos de programa\ORL\VNC\WinVNC.exe

O23 - Service: Exten. controlador Instrumental de admon. de Windows - Unknown - C:\WINNT\system32\Services.exe

Mensaje por **maura63** » 28 Dic 2004, 18:51

En modo seguro elimina estas

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\winlspak.dll

Y cuidado con http://www.el mundo.es intenta descargar mucha basura.

Saludos

maura63

floopo · Mensaje por **floopo** » 30 Dic 2004, 18:50

Despues de hacer lo ultimo que me dijisteis no se borro. Pero encontre la solucion por otra parte, me di cuenta que siempre estaba abierto el Rundll32 cosa que me extraño, asi que con un programa que ve a que archivos estan asociados los programas vi que estaba asociado a un archivo que estaba en system32 y que se llamaba guard.tmp.

Yo borraba el archivo pero el archivo se volvia a crear otra vez asi qe estaba claro qe la cosa iba por ahí.

Como se volvia a crear digo pues lo que voy a hacer es que le quito los permisos al archivo guard.tmp, y asi funcionó y no se me abria ningun popup mas, pero me daba un error de desbordamiento de registro, supongo que por intentar crearlo y no poder, asi que le volvi a poner otra vez los permisos.

Entonces busque todas las entradas del registro que tubieran guard.tmp y las borre.

Pasé los programas "registry mechanic" y "privacy guardian" y cuando reinicie ya no me dio ni un problema mas. Asi que asunto resuelto. Muchas gracias por vuestra ayuda.

FLOOPO

Mensaje por **maura63** » 30 Dic 2004, 18:53

Pues gracias por lo comentarios de como lo solucionaste.

Cerramos el tema.

Saludos

maura63

muchos popups, no abre administrador de tareas (Solucionado)

muchos popups, no abre administrador de tareas (Solucionado)

La cosa sigue medio igual

acabo de pasarle el CWSHREDDER 2.0

mas de lo mismo

ahi va el log

Hasta mañana

Solución para los múltiples POPUp's durante la navegación

Sigue igual

He vuelto!!! sigue igual perdon por la tardancia

sigue igual perdon por la tardancia

Solucion