PDA

Ver la Versión Completa : AYUDA!!! adv.exe

michelpc
21/05/06, 16:03:18
Hola, tengo un problema con un virus que ejecuta un proceso llamado adv.exe. Soy incapaz de eliminarlo, ni con el Kaspersky, ni HijackTHis, ni nada. Borro todo lo referente al virus, pero al conectarme a internet vuelve a aparecer. Tengo XP. Alguien sabe como eliminarlo?
No sé qué es lo que me falta por hacer... justo al conectarme a internet aparece el fichero "adv.exe" en la carpeta WINDOWS/Temp, y dos entradas nuevas en el registro, que son:
O17 - HKLM\System\CCS\Services\Tcpip\..\{09032D6B-3BDC-4736-A9E6-48B58F1C96EF}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{09032D6B-3BDC-4736-A9E6-48B58F1C96EF}: NameServer = 80.58.61.250 80.58.61.254

El resto del registro está limpio.

Elimino todo esto, paso el antivirus y ya no detecta nada. Pero al establecer la conexión, otra vez de nuevo. No sé qué hacer.

Gracias por vuestra ayuda!
Heavyman
21/05/06, 17:06:23
Hola Michelpc,

O17 - HKLM\System\CCS\Services\Tcpip\..\{09032D6B-3BDC-4736-A9E6-48B58F1C96EF}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{09032D6B-3BDC-4736-A9E6-48B58F1C96EF}: NameServer = 80.58.61.250 80.58.61.254

Estas entradas pertenecen a tu IP.

Pegános un log del Hijackthis (http://www.forospyware.com/44-post1.html) acá, en tu próximo post y nos dejás también un reporte de Ewido Online (http://www.forospyware.com/foro-de-virus-y-spywares/aviso-7.html).

Suerte:Bien:
michelpc
22/05/06, 15:23:02
Re: AYUDA!!!! adv.exe
Enviado por : michelpc (IP registrada)
Fecha: 22 de mayo de 2006, 20:31


Hola, he hecho todo lo que habéis dicho y la cosa sigue igual. El log del Hijackthis es:
-----------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 20:28:32, on 22/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINDOWS\system32\inetsec.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\MSMSGS.EXE
C:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and Settings\Ruben\Escritorio\drweb-cureit.exe
C:\DOCUME~1\Ruben\CONFIG~1\Temp\RarSFX0\_start.exe
C:\DOCUME~1\Ruben\CONFIG~1\Temp\RarSFX0\cureit.exe
D:\utils\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [global.acer.com]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [global.acer.com]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [www.telefonica.net]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [AVPCC] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 7
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [update.microsoft.com]
O17 - HKLM\System\CCS\Services\Tcpip\..\{09032D6B-3BDC-4736-A9E6-48B58F1C96EF}: NameServer = 80.58.61.250 80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{09032D6B-3BDC-4736-A9E6-48B58F1C96EF}: NameServer = 80.58.61.250 80.58.61.254
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
-------------------------------------------------------------------------

EWIDO:

Name: TrackingCookie.Com
Path: C:\Documents and Settings\Ruben\Cookies\ruben@com[1].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Documents and Settings\Ruben\Cookies\ruben@vodafonees.122.2o7[1].txt
Risk: Medium
--------------------------------------------------------------------------
Y nada, la cosa sigue igual. adv.exe vuelve a aparecer.
Que puedo hacer?

© Copyright 2005 - 2008 InfoSpyware ® Todos los derechos reservados.
InfoSpyware Security Blog