Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola familia, soy nuevo en el foro, un saludo y enhorabuena por el, tengo un problema con el programa PSguard no consigo quitar el fondo negro, creo que he quitado todo el programa, por favor podrian echar un vistazo a este log:

Logfile of HijackThis v1.99.1
Scan saved at 6:12:51, on 01/09/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\THOTKEY.EXE
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\COMMON\FSMA32.EXE
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\COMMON\FSMB32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\COMMON\FCH32.EXE
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FSPC\FSHTTPS\FSHTTPS.EXE
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\BACKWEB\4476822\PROGRAM\FSBWSYS.EXE
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\BACKWEB\4476822\PROGRAM\FSPEX.EXE
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\COMMON\FAMEH32.EXE
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\ANTI-VIRUS\FSGK32.EXE
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FWES\PROGRAM\FSDFWD.EXE
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FSPC\FSPC.EXE
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\ANTI-VIRUS\FSSM32.EXE
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\ANTI-VIRUS\FSAV32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\ALISNDMG.EXE
C:\ARCHIVOS DE PROGRAMA\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\TPWRTRAY.EXE
C:\WINDOWS\SYSTEM\TFNCKY.EXE
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\COMMON\FSM32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\RunDLL.exe
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\ARCHIVOS DE PROGRAMA\NIKON\NKVIEW5\NKVMON.EXE
C:\ARCHIVOS DE PROGRAMA\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE
C:\ARCHIVOS DE PROGRAMA\WLAN\USB_WLAN_UTILITY\WLAN.EXE
C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FSGUI\FSGUIEXE.EXE
C:\MIS DOCUMENTOS\DESINSTALAR PSGUARD\HIJACKTHIS\HIJACKTHIS_1.99.1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F1 - win.ini: run=hpfsched
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ALiSndMgr] ALiSndMg.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\ARCHIV~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Archivos de programa\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Archivos de programa\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Archivos de programa\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [THotkey] C:\WINDOWS\SYSTEM\THotkey.exe
O4 - HKLM\..\RunServices: [F-Secure Management Agent] C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\Common\FSMA32.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Avisos del Calendario de Microsoft Works.lnk = C:\Archivos de programa\Archivos comunes\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView5\NkvMon.exe
O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Archivos de programa\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O4 - Startup: USB Wireless Client Manager.lnk = C:\Archivos de programa\WLAN\USB_WLAN_Utility\Wlan.exe
O4 - Global Startup: F-Secure Internet Security 2005.lnk = C:\Archivos de programa\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Filtro web - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: &Autorizar este sitio web - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: &Denegar este sitio web - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: &Suspender el filtro web - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FSPC\FSPCMSIE.DLL
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FSPC\FSPCMSIE.DLL
O9 - Extra 'Tools' menuitem: &Mostrar lista de páginas web - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\ARCHIVOS DE PROGRAMA\F-SECURE INTERNET SECURITY\FSPC\FSPCMSIE.DLL
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 62.14.63.145,62.14.2.1

Gracias de antemano, no esperaba que existiese un foro de este tipo. Gracias de nuevo.

Hola , te doy la bienvenida al Foro de InfoSpyware.

Seguí estos pasos para: Eliminar PSguard y usa la herramienta SmitfraudFIX.bat

Después nos comentas los resultados en este mismo mensaje.

Salu2

Gracias El Piedra, me falta aplicar smitfraudfix, te pregunto hay un DLL que es C:\WINDOWS\SYSTEM\KERNEL32.DLL lo tengo que eliminar?, veo que el que indicais es KERNELS32.DLL, varia en la S, echa un vistazo a mi log, no encuentro nada mas que coincida con la pagina que me has dicho.

Saludos.

Hola, si la letra 'S' es la que hace la diferencia en el archivo que tenes que eliminar.

Pasale la herramienta SmitfraudFIX.bat que esta supuesto tambien a limpiar todo el registro de este parasito automaticamente.

Salu2

Gracias de nuevo, te confirmo cuando lo ejecute si me quito la pantalla negra.

Gracias.

No consigo quitar el fondo negro El Piedra, ejecuto la utilidad SMITFRAUDFIX iniciando en modo a prueba de fallos, se abre una ventana de msdos y sale un mensaje del foro y se queda abierta y no se cierra sola ni me pide nada, es asi como funciona el programa.

Gracias por tu interes.

Bueno a ver si podes ejecuta esta llamada DelPSGuard.exe y nos contas los resultados.

Salu2

SOLUCIONADO El Piedra siento no haberte contestado antes, lo que hice al final que solo me quedaba restaurar las dos petañas que me faltaban en las propiedades de pantallas que son las que te permiten cambiar el fondo y los temas de escritorio lo solucione de la siguiente forma:

- Hay que cambiar los siguientes valores del registro:
Inicio - Ejecutar - regedit (enter)

- Llegar hasta la siguiente ruta: Hkey_current_user - Software - Microsoft - Windows - Currentversion - Policies - System

-Ahora click derecho con el raton sobre la parte vacia de la derecha y crea o modifica el valor DWORD - Nodispbackgroundpage

-Doble Click donde dice: "Nodispbackgroundpage" Veras que está el valor "1" por defecto, cambia éste por el número "0" para ver todas las opciones de pantalla.

-Igual Doble Click donde dice: "NoDispAppearancePage" Veras que está el valor "1" por defecto, cambia éste por el número "0" para ver todas las opciones de pantalla.

Solucionado, de todas formas mil gracias, los registros te los cambia el pu.... troyano y esos simples registros hacen que se vean o no esas pestañas.

I love this foro.

Muy bien damos el tema por solucionado y tomamos tus pasos como referencia.

Salu2