navegador secuestrado y icono al lado del reloj de windows

[tranceadd]

Hola, tengo Internet explorer secuestrado, cuando lo ejecuto deberia salir la pagina en blanco pero me sale una de un buscador con el icono de microsoft explorer y un listado de categorias, miro en mis opciones y tengo la pagina de inicio como en blanco.



Otro problema es el de un icono que me sale cada cierto tiempo al lado del reloj de la barra de tareas, es como un escudo con una x en medio y cuando clico en él, se me abre una ventana de ayuda sobre como desinstalar y protegerme de 'spyware', todo ello imita el aspecto de microsoft, pero juraría que ellos no tienen nada que ver en eso, y claro está, yo no lo e instalado.



HE pasado varios antivirus, el Spybot search & destroy, el add aware, todos varias veces, y siempre me salen los mismos archivos a eliminar, pues cuando lo hago, siguen estando ahi...



A ver si alguien me echa un cable por favor, gracias.

[maura63]

CWShredder™ Version 2.14

Released: Marzo 2005





http://www.intermute.com/products/cwshredder.html



Pulsar sobre Download stand-alone version of CWShredder





Lo ejecutas en modo seguro y pulsa en FIX.



Comprueba en agregar y quitar programas si tienes algo raro no instalado por ti.



Saludos

maura63

[msc hotline sat]

Y tras lo indicado en el post anterior, lanza el ELISTARA.EXE, elimina la pagina actual y con la misma utilidadm cuando te lo pida, ponle una concreta, como http://www.google.es y mira si la mantiene.



http://www.zonavirus.com/descargas/elistara.asp



Postea kis resulyados como respuesta de este Tema, que si no son todo lo positivos que deseariamos, te pediremos nos copies un log creado por la utilidad HiJackThis, pero ya te diremos como si hace falta, a la vista de tu respuesta.



saludos



ms, 14-04-2005

[tranceadd]

Hola, antes que nada gracias por ayudarme a resolver el problema, porque parece que se a arreglado totalmente, a continuación os pongo lo que me pediais, el fichero de texto generado por el InfoSat:





Mon May 23 16:40:12 2005

EliStartPage v6.6 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\WINDOWS\WINFT.EXE --> BackDoor BDD Renombrado a .VIR

C:\WINDOWS\BXVNJ.DLL --> Eliminado StartPage-DU

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\IINSTALL.EXE.Muestra EliStartPage v6.6

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\\IINSTALL.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\IPLK.DLL.Muestra EliStartPage v6.6

a "virus@satinfo.es". Gracias.

C:\WINDOWS\IPLK.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "WINFT.EXE"="C:\WINDOWS\winft.exe"

Eliminada Class, BHO y ToolBar "{618B75A2-344D-6234-758B-932CEA18F75B}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Una duda que tengo, este programa ya se a encargado de eliminarlos no? Que me aconsejáis seguir pasando este programa o el search & destroy? o los dos a la vez?



gracias de nuevo! :wink:

[tranceadd]

Hola, antes que nada gracias por ayudarme a resolver el problema, porque parece que se a arreglado totalmente, a continuación os pongo lo que me pediais, el fichero de texto generado por el InfoSat:





Mon May 23 16:40:12 2005

EliStartPage v6.6 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\WINDOWS\WINFT.EXE --> BackDoor BDD Renombrado a .VIR

C:\WINDOWS\BXVNJ.DLL --> Eliminado StartPage-DU

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\IINSTALL.EXE.Muestra EliStartPage v6.6

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\\IINSTALL.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\IPLK.DLL.Muestra EliStartPage v6.6

a "virus@satinfo.es". Gracias.

C:\WINDOWS\IPLK.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "WINFT.EXE"="C:\WINDOWS\winft.exe"

Eliminada Class, BHO y ToolBar "{618B75A2-344D-6234-758B-932CEA18F75B}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Una duda que tengo, este programa ya se a encargado de eliminarlos no? Que me aconsejáis seguir pasando este programa o el search & destroy? o los dos a la vez?



gracias de nuevo! :wink:

[tranceadd]

Hola, antes que nada gracias por ayudarme a resolver el problema, porque parece que se a arreglado totalmente, a continuación os pongo lo que me pediais, el fichero de texto generado por el InfoSat:





Mon May 23 16:40:12 2005

EliStartPage v6.6 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\WINDOWS\WINFT.EXE --> BackDoor BDD Renombrado a .VIR

C:\WINDOWS\BXVNJ.DLL --> Eliminado StartPage-DU

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\IINSTALL.EXE.Muestra EliStartPage v6.6

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\\IINSTALL.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\IPLK.DLL.Muestra EliStartPage v6.6

a "virus@satinfo.es". Gracias.

C:\WINDOWS\IPLK.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "WINFT.EXE"="C:\WINDOWS\winft.exe"

Eliminada Class, BHO y ToolBar "{618B75A2-344D-6234-758B-932CEA18F75B}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Una duda que tengo, este programa ya se a encargado de eliminarlos no? Que me aconsejáis seguir pasando este programa o el search & destroy? o los dos a la vez?



gracias de nuevo! :wink:

[tranceadd]

Hola, antes que nada gracias por ayudarme a resolver el problema, porque parece que se a arreglado totalmente, a continuación os pongo lo que me pediais, el fichero de texto generado por el InfoSat:





Mon May 23 16:40:12 2005

EliStartPage v6.6 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\WINDOWS\WINFT.EXE --> BackDoor BDD Renombrado a .VIR

C:\WINDOWS\BXVNJ.DLL --> Eliminado StartPage-DU

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\IINSTALL.EXE.Muestra EliStartPage v6.6

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\\IINSTALL.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\IPLK.DLL.Muestra EliStartPage v6.6

a "virus@satinfo.es". Gracias.

C:\WINDOWS\IPLK.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "WINFT.EXE"="C:\WINDOWS\winft.exe"

Eliminada Class, BHO y ToolBar "{618B75A2-344D-6234-758B-932CEA18F75B}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Una duda que tengo, este programa ya se a encargado de eliminarlos no? Que me aconsejáis seguir pasando este programa o el search & destroy? o los dos a la vez?



gracias de nuevo! :wink:

[tranceadd]

Hola, antes que nada gracias por ayudarme a resolver el problema, porque parece que se a arreglado totalmente, a continuación os pongo lo que me pediais, el fichero de texto generado por el InfoSat:





Mon May 23 16:40:12 2005

EliStartPage v6.6 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\WINDOWS\WINFT.EXE --> BackDoor BDD Renombrado a .VIR

C:\WINDOWS\BXVNJ.DLL --> Eliminado StartPage-DU

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\IINSTALL.EXE.Muestra EliStartPage v6.6

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\\IINSTALL.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\IPLK.DLL.Muestra EliStartPage v6.6

a "virus@satinfo.es". Gracias.

C:\WINDOWS\IPLK.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "WINFT.EXE"="C:\WINDOWS\winft.exe"

Eliminada Class, BHO y ToolBar "{618B75A2-344D-6234-758B-932CEA18F75B}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Una duda que tengo, este programa ya se a encargado de eliminarlos no? Que me aconsejáis seguir pasando este programa o el search & destroy? o los dos a la vez?



gracias de nuevo! :wink:

[tranceadd]

Hola, antes que nada gracias por ayudarme a resolver el problema, porque parece que se a arreglado totalmente, a continuación os pongo lo que me pediais, el fichero de texto generado por el InfoSat:





Mon May 23 16:40:12 2005

EliStartPage v6.6 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\WINDOWS\WINFT.EXE --> BackDoor BDD Renombrado a .VIR

C:\WINDOWS\BXVNJ.DLL --> Eliminado StartPage-DU

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\IINSTALL.EXE.Muestra EliStartPage v6.6

a "virus@satinfo.es". Gracias.

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\\IINSTALL.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\PERES~1.V\CONFIG~1\TEMP\IPLK.DLL.Muestra EliStartPage v6.6

a "virus@satinfo.es". Gracias.

C:\WINDOWS\IPLK.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "WINFT.EXE"="C:\WINDOWS\winft.exe"

Eliminada Class, BHO y ToolBar "{618B75A2-344D-6234-758B-932CEA18F75B}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Una duda que tengo, este programa ya se a encargado de eliminarlos no? Que me aconsejáis seguir pasando este programa o el search & destroy? o los dos a la vez?



Lo que me sigue saliendo es un mensaje cómo si lo generara windows conforme mi sistema esta siendo espiado, es como un aviso del sistema,y cuando le doy a si, me abre una pagina de un programa llamado 'go! zilla' que dice ser la solución al spyware. Alguna idea?



gracias de nuevo! :wink:

[tranceadd]

ups... esto se ha repetido varias veces, pido perdón al administrador, pensaba que no se mandaba el post ya al recargar ya e visto que lo a enviado unas veces de más...

[maura63]

Bajar :

http://www.merijn.org/files/hijackthis.zip



Descarga y descomprimes creando su propia carpeta, con todos los programas cerrados incluso el internet explorer, lo ejecutas, pulsa scan y luego en save, se abrira un fichero log txt con el resultado, haz un copiar y pegas el resultado como respuesta a este tema.



Saludos

maura63

[tranceadd]

Logfile of HijackThis v1.99.1

Scan saved at 16:50:49, on 29/05/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\neted32.exe

C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\Mixer.exe

C:\ARCHIV~1\TERRAA~1\BIN\WIN2K\tidslmon.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\devldr32.exe

C:\WINDOWS\system32\ntnr.exe

C:\Archivos de programa\FinePixViewer\QuickDCF.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\UAService7.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xuuva.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuuva.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xuuva.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xuuva.dll/sp.html#12345

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xuuva.dll/sp.html#12345

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xuuva.dll/sp.html#12345

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xuuva.dll/sp.html#12345

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F3 - REG:win.ini: run=

O2 - BHO: (no name) - {05A55FD0-07CB-11D2-9597-D96F9FF82934} - C:\WINDOWS\ntwy.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [AHQInit] C:\Archivos de programa\Creative\SBLive\Program\AHQInit.exe

O4 - HKLM\..\Run: [AudioHQ] C:\Archivos de programa\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Archivos de programa\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay

O4 - HKLM\..\Run: [TIxDSL] C:\ARCHIV~1\TERRAA~1\BIN\WIN2K\tidslmon.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copia 1)" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ntnr.exe] C:\WINDOWS\system32\ntnr.exe

O4 - Global Startup: Exif Launcher.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Inicio - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\kazemule-vive\local.htm (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O15 - Trusted Zone: *.05p.com

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: *.scoobidoo.com

O15 - Trusted Zone: *.static.topconverting.com

O15 - Trusted Zone: *.05p.com (HKLM)

O15 - Trusted Zone: *.awmdabest.com (HKLM)

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted Zone: *.scoobidoo.com (HKLM)

O15 - Trusted Zone: *.static.topconverting.com (HKLM)

O15 - Trusted IP range: 206.161.125.149

O15 - Trusted IP range: 206.161.125.149 (HKLM)

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} - http://www.juegos-flash.com/ruboskizo2.cab

O16 - DPF: {5445BE81-B796-11D2-B931-002018654E2E} (MeadCo Security Manager) - http://chatcenter.wanadoo.es:8883/wcsapp/weblib/Javascript/messaging/ie/SecMgr.cab

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} - http://213.201.69.103/data/dialercab/IberoDialerHTML.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{01383EEB-DB17-4243-B26E-AA2F23AE3EAE}: NameServer = 195.235.113.3,195.235.96.90

O17 - HKLM\System\CS1\Services\Tcpip\..\{01383EEB-DB17-4243-B26E-AA2F23AE3EAE}: NameServer = 195.235.113.3,195.235.96.90

O17 - HKLM\System\CS2\Services\Tcpip\..\{01383EEB-DB17-4243-B26E-AA2F23AE3EAE}: NameServer = 195.235.113.3,195.235.96.90

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\neted32.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

[maura63]

Arranca en modo seguro lanza hijackthis pulsa scan/ marcas estas entradas/ pulsa fix



O15 - Trusted Zone: *.05p.com -

O15 - Trusted Zone: *.awmdabest.com -

O15 - Trusted Zone: *.frame.crazywinnings.com -

O15 - Trusted Zone: *.scoobidoo.com -

O15 - Trusted Zone: *.static.topconverting.com -

O15 - Trusted Zone: *.05p.com (HKLM) -

O15 - Trusted Zone: *.awmdabest.com (HKLM) -

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) -

O15 - Trusted Zone: *.scoobidoo.com (HKLM) -

O15 - Trusted Zone: *.static.topconverting.com (HKLM) -

O15 - Trusted IP range: 206.161.125.149 -

O15 - Trusted IP range: 206.161.125.149 (HKLM) -



Pasa estos programas actualizados tambien en modo seguro



Antivirus

Spybot

Ad_aware y



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





elimina todo lo que encuentren





Luego en modo normal conecta via windows update y actualizas, pues te faltan un monton de parches y servipacks.



Deberas tras descargar algunos reiniciar el equipo y volver a windows update, pues te apareceran mas actualizaciones. Te llevara un buen rato.



Despues vuelves a postearnos un nuevo log en modo normal por si quedase algun resto de intrusos.



Saludos

maura63