wEnaS ChiC@s! q pá

Les escribo porq stoy ya hasta la coronilla por no desi una zona del extremo opuesto jeje. La verdad esq me trae loco un fenomeno q me sta pasando ultimamente. Como dato os digo antes de contaros el problema q con el windows recien instalado no me ocurre me pasa cuando llevo como un mes o algo así por eso he pensao q es un spyware.

Mi firewall es el Sygate q me parece de lo mejorcito

El problema es el siguiente : En determinadas ocasiones aleatorias pero muy reiteradas, me aparece una ventana vacía de aplicación minimizada en la barra de tareas q se abre y se cierra muy rapidamente. El caso esq es todo un puteo porq me cierra todas las cosas q requieran pantalla completa, DVD's, Películas, Juegos, porq como se me sale la ventanita, me baja las aplicaciones a la barra de tareas.

El caso esq es imposible hacer un screen al momento porq es muy rapido.
Creedme q es un puteo total y q molesta como el solo vamos . He pasado el Ewidoo el Kapersky y todos los spywares y no tngo ninguno, por eso me extraña y he titulado así el Topic.

Bueno un saludo y GRACIAS DE ANTEMANOOO!

Hola Pitroca

El Sigate gratuito sospecho que son las notificaciones del Sygate. Es una ventanita celeste bastante molesta sobre el reloj en la barra de herramientas. Haz lo siguiente:

Abres Sygate/ Tools/ Options/ Notifications**** marcas lla casilla Hide Notifications. Messages.

Hazlo si miedo son notificaciones sin sentido y bastante molestas que tiene el Sygate.

Nos cuentas. Saludos

Prestifilipo muchas gracias por la prestreza pero no jeje eso lo desactive hace X cuando x tiende a infinito jaja. Te comento q soy usuario avanzado :p asiq cosillas asi ya las tngo vistas
Te comento tb q mi flashget no es el gratuito y el sygate personal firewal tp, los pillé por recomendacion y me ha ido bien, asiq tp tngo el spyware del flashget, ni el kazaa ni nada deso, ya lo veras por el log del Hijack .

Total viendo q no es eso y facilitandoos el proceso me he leido todo el foro casi y no encontre a nadie con algo asi. El caso esq os adjunto el log del Hijack para aceleraros el trabajo. Aqui teneis, a ver si os sirve.

Logfile of HijackThis v1.99.1
Scan saved at 22:56:51, on 02/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARCHIV~1\FlashGet\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Archivos de programa\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Archivos de programa\Anti-Blaxx 1.18\Anti-Blaxx.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Archivos de programa\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1137142726140
O17 - HKLM\System\CCS\Services\Tcpip\..\{7729B12E-1DC4-4EA8-81CB-AFFB3675B454}: NameServer = 195.235.113.3,195.235.96.90
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Archivos de programa\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

Hola Pitroca

Parecia facil, te conteste de taquito pero me agarrastes el log esta limpio, decis
que no son las notificaciones, vas a tener que tratar de copiar el mensaje que te esta enviando, porque con solo esas pistas es muy dificil.

Las infeciones que acostumbran notificar en la barra de herramientas se dejan ver, no corren a la velocidad de la luz, asi que te recomiendo que busques la manera de descifrar el mensaje.

El tema en este foro se da por solucionado y te recomiendo que abras un nuevo tema en este foro.

Saludos

Haciendote caso tio, y esperando 10 minutos con la mano en la tecla de imprimir pantalla he podido capturar lo q te digo... la verdad... a mi tb me deja con la boca abierta jeje




Eh aki la prueba del delitou

Asias por todo lo q haceis, soys unos makinas!!

Buenas......


Pues bien, si es algo raro, sobre todo por lo que logra hacer la ventana asi que vamos a hacer lo siguiente:

Haz un chequeo con el kaspersky online y nos dejas el reporte aca


Descarga y ejecuta la herramienta mwav, esta herramienta genera un log largisimo por lo que solo nos colocaras aca las entradas que digan "Tagged" o "Infected"




Salu2

Bien, pase todo lo pasable y no habia nada en los Online. Pero el mwav despues de 1hora y media (pedazo de escaneo q sa pegao) me ha encontrado unos cuantos errores y VIRUS!! te aseguro q los online no encontraban nada

Bueno os reporto los, ERRORs

Fri Feb 03 16:21:52 2006 => ERROR!!! Invalid Entry system32\drivers\InCDPass.sys in SYSTEM\CurrentControlSet\Services\InCDPass...
Fri Feb 03 16:21:52 2006 => ERROR!!! Invalid Entry system32\drivers\InCDRm.sys in SYSTEM\CurrentControlSet\Services\InCDRm...
Fri Feb 03 16:21:56 2006 => ERROR!!! Invalid Entry
in SYSTEM\CurrentControlSet\Services\vsdatant...
Fri Feb 03 17:01:15 2006 => Result: ERROR!!! File C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Netsys.zip is Not Scanned
Fri Feb 03 17:01:15 2006 => Result: ERROR!!! File C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Netsys1.zip is Not Scanned
Fri Feb 03 17:01:15 2006 => Result: ERROR!!! File C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\Netsys2.zip is Not Scanned
Fri Feb 03 17:01:15 2006 => Result: ERROR!!! File C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\WhenUSearch.zip is Not Scanned
Fri Feb 03 17:01:16 2006 => Result: ERROR!!! File C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\WhenUSearch1.zip is Not Scanned
Fri Feb 03 17:01:16 2006 => Result: ERROR!!! File C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\WhenUSearch2.zip is Not Scanned
Fri Feb 03 17:01:16 2006 => Result: ERROR!!! File C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\WhenUSearch3.zip is Not Scanned
Fri Feb 03 17:01:16 2006 => Result: ERROR!!! File C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\WhenUSearchDesktoptoolbar.zip is Not Scanned
Fri Feb 03 17:01:16 2006 => Result: ERROR!!! File C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterAntiVirusOve rride.zip is Not Scanned
Fri Feb 03 17:01:16 2006 => Result: ERROR!!! File C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy\Recovery\WindowsSecurityCenterAntiVirusOve rride1.zip is Not Scanned
Fri Feb 03 17:09:01 2006 => Result: ERROR!!! File C:\hiberfil.sys: Scanning Failure!!!
Fri Feb 03 17:09:01 2006 => ERROR!!! ScanFile fails for C:\hiberfil.sys
Fri Feb 03 17:17:53 2006 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!
Fri Feb 03 17:17:53 2006 => ERROR!!! ScanFile fails for C:\pagefile.sys

Errores:: 18

Los Tagged son estos

Fri Feb 03 17:26:05 2006 => File C:\System Volume Information\_restore{CDF24D34-66CD-4D46-B5AF-A6ED6F8618A7}\RP75\A0010235.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bi". Action Taken: Ninguna Accion fue realizada.

Aqui los Infected bajo mi asombro jeje

Fri Feb 03 16:22:08 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: Ninguna Accion fue realizada.
Fri Feb 03 16:22:13 2006 => Offending file found: E:\emule\emule incoming\deejaysystem mk-ii+serial(funciona 100%)+dll audio{by sanxo dj}\deejaysystem mk-ii\xaudio.dll
Fri Feb 03 16:22:13 2006 => System found infected with songspy Spyware/Adware (xaudio.dll)! Action taken: Ninguna Accion fue realizada.

Fri Feb 03 16:22:15 2006 => Offending file found: E:\jose\pogramas\drivers y service pack\placa base\epox 8k3a\magicflash-2-11-03\skin\skin.ini
Fri Feb 03 16:22:15 2006 => System found infected with tencent qq Spyware/Adware (skin.ini)! Action taken: Ninguna Accion fue realizada.

Fri Feb 03 16:22:32 2006 => Offending file found: E:\emule\emule incoming\deejaysystem mk-ii+serial(funciona 100%)+dll audio{by sanxo dj}\deejaysystem mk-ii\xaudio.dll
Fri Feb 03 16:22:32 2006 => System found infected with songspy Spyware/Adware (xaudio.dll)! Action taken: Ninguna Accion fue realizada.

Fri Feb 03 16:22:33 2006 => Offending file found: E:\jose\pogramas\drivers y service pack\placa base\epox 8k3a\magicflash-2-11-03\skin\skin.ini
Fri Feb 03 16:22:33 2006 => System found infected with tencent qq Spyware/Adware (skin.ini)! Action taken: Ninguna Accion fue realizada.

Eso es todo todo y todo jeje...

Un saludo y a ver si podemos arreglarlo porq a lo mejor le pasa esto a alguien y ya tiene informacion

Bueno, veamos, los que muestran Error!! son normales

Los carpeta deejaysystem esta infectada, es mejor que la elimines, y si es algun programa el cual instalaste, desinstalalo tambien


La carpeta magicflash-2-11-03 pareciera estar infectada, pero a la ves pareciera ser alguna actualizacion para el bios o similar, por ahora puedes dejarla quieta


Sobre lo demas, haz lo siguiente, descarga, instala y actualiza el Spy Sweeper, haz un chequeo con este programa primero en modo normal y luego en modo a prueba de fallos (modo seguro)




Salu2