Porquerías resistentes (solucionado)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
Avatar de Usuario
Twinsen
Mensajes: 10
Registrado: 27 May 2005, 17:24
Ubicación: Hospitalet (BARCELONA)

Porquerías resistentes (solucionado)

Mensaje por Twinsen » 27 May 2005, 17:36

Muy buenas, siguiendo las instrucciones que habéis dado a otras víctimas de esta lacra :D he encendido mi ordenador en modo a prueba de fallos (tengo windows 2000) y he pasado el spybot serch&destroy y el Ad aware poniendo en cuarentena todo lo que salía como peligroso.

Luego he reiniciado mi ordenador y aún así tengo entradas del coolwwwsearch en el spybot y 13 más en el adaware del mismo problema.



Como no se ke más hacer os mando el log del hijackthis a ver si me podeís ayudar.



Logfile of HijackThis v1.99.1

Scan saved at 17:28:00, on 27/05/2005

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 (5.00.2920.0000)



Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Norton Internet Security\NISUM.EXE

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\drivers\CDAC11BA.EXE

C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\hidserv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.exe

C:\WINNT\anvshell.exe

C:\WINNT\SOUNDMAN.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINNT\loadqm.exe

C:\Archivos de programa\BenQ\QMusic2\QMAgent.exe

C:\WINNT\System32\ph9bigp67nyrrthd.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Archivos de programa\SilvercrestOffice\KMaestro.exe

C:\WINNT\System32\internat.exe

C:\WINNT\System32\RUNDLL32.EXE

C:\Archivos de programa\DV Series\Console\Watch.exe

C:\Archivos de programa\Ulead Systems\Photo Express 4.0 Mi Edicion Personalizada\CalCheck.exe

C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Archivos de programa\FinePixViewer\QuickDCF.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\japygab\Escritorio\jap\program\utilidad anti-spyware\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://letgohome.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://letgohome.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/sp.htm?id=9

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=9

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://letgohome.com/sp.htm?id=9

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINNT\System32\64SWK4~1.DLL

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Anvshell] anvshell.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [LiveNote] livenote.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [QMusic] "C:\Archivos de programa\BenQ\QMusic2\QMAgent.exe"

O4 - HKLM\..\Run: [Control handler] C:\WINNT\System32\ph9bigp67nyrrthd.exe

O4 - HKLM\..\Run: [dnscleaner] C:\WINNT\dnscleaner.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [REGSHAVE] C:\Archivos de programa\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [OpwareSE2] "C:\Archivos de programa\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [OPSE reminder] "C:\Archivos de programa\ScanSoft\OmniPageSE2.0\EregSpa\Ereg.exe" -r "C:\Archivos de programa\ScanSoft\OmniPageSE2.0\EregSpa\ereg.ini"

O4 - HKLM\..\Run: [BtcMaestro] C:\Archivos de programa\SilvercrestOffice\KMaestro.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Watch.lnk = C:\Archivos de programa\DV Series\Console\Watch.exe

O4 - Global Startup: Ulead Photo Express 4.0 Calendar Checker para Mi Edicion Personalizada.lnk = C:\Archivos de programa\Ulead Systems\Photo Express 4.0 Mi Edicion Personalizada\CalCheck.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Exif Launcher.lnk = C:\Archivos de programa\FinePixViewer\QuickDCF.exe

O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/en/us/default.aspxspanish/msn

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/en/us/default.aspxspanish/msn

O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q678340.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{57088724-FE00-4453-8178-21C74BB315A3}: NameServer = 69.50.176.156 195.225.176.31

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31

O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31

O20 - AppInit_DLLs: w8c6s4xcm663jt3.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\System32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPxySvc.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\NISUM.EXE

O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe



Muchísimas gracias por adelantado. Adéu.
Arriba
maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:
Contactar maura63

Mensaje por maura63 » 27 May 2005, 17:40

Prueba con estas antes de eliminar algo



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp





CWShredder™ Version 2.14

Released: Marzo 2005





http://www.intermute.com/products/cwshredder.html



Pulsar sobre Download stand-alone version of CWShredder



Despues nos vuelves a pegar otro log.



Y tienes el w2000 sin actualizar con el SP4 y el IE debes instalar la version 6.0 SP1+ parches.



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Arriba
maura63
Mensajes: 6865
Registrado: 09 Mar 2004, 20:42
Ubicación: Cádiz, ESPAÑA
Contactar:
Contactar maura63

Mensaje por maura63 » 27 May 2005, 17:46

Conoces de algo estas aplicaciones? de no conocer eliminalas



C:\Archivos de programa\BenQ\QMusic2\QMAgent.exe -

C:\WINNT\System32\ph9bigp67nyrrthd.exe -

C:\Archivos de programa\DV Series\Console\Watch.exe -



EArranca en modo seguro y lanza hijackthis pulsa scan marcas estas entradas y FIX



R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://letgohome.com/sp.htm?id=9 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://letgohome.com/sp.htm?id=9 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/sp.htm?id=9 -

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=9 -

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=9 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://letgohome.com/sp.htm?id=9 -

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINNT\System32\64SWK4~1.DLL -

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) -

O4 - HKLM\..\Run: [QMusic] "C:\Archivos de programa\BenQ\QMusic2\QMAgent.exe" -

O4 - HKLM\..\Run: [Control handler] C:\WINNT\System32\ph9bigp67nyrrthd.exe -

O4 - HKLM\..\Run: [dnscleaner] C:\WINNT\dnscleaner.exe -

O4 - HKLM\..\Run: [OPSE reminder] "C:\Archivos de programa\ScanSoft\OmniPageSE2.0\EregSpa\Ereg.exe" -r "C:\Archivos de programa\ScanSoft\OmniPageSE2.0\EregSpa\ereg.ini" -

O4 - Global Startup: Exif Launcher.lnk = C:\Archivos de programa\FinePixViewer\QuickDCF.exe -

O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/en/us/default.aspxspanish/msn -

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/en/us/default.aspxspanish/msn -

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q678340.exe -

O20 - AppInit_DLLs: w8c6s4xcm663jt3.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll -



Luego en modo normal lanza esta utilidad



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



acepta el bloqueo del intento de intrusion y conecta via windows update y actualiza tu sistema. Ojo que te llevara un buen rato.



Saludos

maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online

Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Arriba
Avatar de Usuario
Twinsen
Mensajes: 10
Registrado: 27 May 2005, 17:24
Ubicación: Hospitalet (BARCELONA)

Mensaje por Twinsen » 27 May 2005, 22:07

Genial, todo ha vuelto a su sitio y no queda rastro de basura

interestelar jejeje.



Muchas gracias, os habéis ganado que abra un par de veces

la propaganda :lol:



PD: ¿De qué país es la página?, lo digo porque he leido escritos

que me han parecido hechos por latinoamericanos.

Venga un abrazo gracias.
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Mensaje por msc hotline sat » 28 May 2005, 07:11

Respondiendo a tu pregunta, esta pagina es española, valenciana para precisar mas, si bien sus foreros son de todas parte donde se hable castellano, como la America de habla hispana, desde Mexico, hasta Argentina, pasando por Chile, Uruguay, Venezuela, Colombia, Ecuador, Perú, El Salvador, Guatemala, Nicaragua, por nombrar algunos que recuerdo, con moderadores del Norte al Sur de España /(desde Barcelona a Canarias, pasando por Cádiz, y tambien en el otro lado del charco, Mexico y El Salvador actualmente.



Especial mencion para ADMIN, administrador general del foro y creador de esta web, gracias a cuya idea surgió esta página, a travñes de la cual intentamos echar una mano al respecto.



Y habiendo sido solucionado el problema que tenías, procedemos a cerrar el Tema



saludos



ms, 28-05-2005
Arriba
Cerrado

Volver a “Foro Spyware”