Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola a todos,
mi antivirus avast esta parando continuamente dos intentos de conexion de algun programa del mal. son lo siguientes

http://85.255.115.187/users/fill/web/images/rzspy.exe
http://85.255.115.187/users/fill/web/images/idownload.exe

le digo abortar la conexion y listo, pero a los pocos minutos vuelven a aparecer.

He pasado el AdAware y el Spy blaster y dicen que estoy limpio....!!!!!


Aqui teneis mi log. Muchas gracias por adelantado


Logfile of HijackThis v1.99.1
Scan saved at 13:21:05, on 18/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE
C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe
C:\ARCHIV~1\ARCHIV~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Archivos de programa\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D2D1575-5EC5-40AF-9D78-F23C20A22A67}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{1495DE2C-E267-4594-895A-6C6E035EBFBB}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{19DD4455-622F-411C-9EA1-C4E06B2DE323}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{48E0925A-6C59-46A2-AA5E-38E4B8622B10}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{A81345A9-0B31-4D07-95AF-D2C5C135F2F1}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1138BF5-220B-47A1-BF8D-CCC376E2400D}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D2D1575-5EC5-40AF-9D78-F23C20A22A67}: NameServer = 85.255.115.26,85.255.112.110
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Hola ibajo

Bienvenido/a al foro de InfoSpyware

Para que le sea mas cómodo seguir los pasos imprímalos

Recuerde pasar por Windows Update regularmente y mantener su sistema actualizado.

• Descarge las siguientes herramientas pero no las ejecute aun.

• WinSock XP Fix

Ahora siga estos pasos para la reparación.

• ver archivos ocultos en todos los Windows

• Marque la casilla "Desactivar Restaurar sistema" solo en Win ME y XP

• Modo a prueba de fallos

• Siga estos pasos para reparar las entradas 01-Hosts


Con todos los programas cerrados (MSN, IE, KaZaa, etc..) ejecute el HijackThis y déle "FIX Cheked" a estas entradas:


O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D2D1575-5EC5-40AF-9D78-F23C20A22A67}: NameServer = 85.255.115.26,85.255.112.110

O17 - HKLM\System\CCS\Services\Tcpip\..\{1495DE2C-E267-4594-895A-6C6E035EBFBB}: NameServer = 85.255.115.26,85.255.112.110

O17 - HKLM\System\CCS\Services\Tcpip\..\{19DD4455-622F-411C-9EA1-C4E06B2DE323}: NameServer = 85.255.115.26,85.255.112.110

O17 - HKLM\System\CCS\Services\Tcpip\..\{48E0925A-6C59-46A2-AA5E-38E4B8622B10}: NameServer = 85.255.115.26,85.255.112.110

O17 - HKLM\System\CCS\Services\Tcpip\..\{A81345A9-0B31-4D07-95AF-D2C5C135F2F1}: NameServer = 85.255.115.26,85.255.112.110

O17 - HKLM\System\CCS\Services\Tcpip\..\{B1138BF5-220B-47A1-BF8D-CCC376E2400D}: NameServer = 85.255.115.26,85.255.112.110

O17 - HKLM\System\CS1\Services\Tcpip\..\{0D2D1575-5EC5-40AF-9D78-F23C20A22A67}: NameServer = 85.255.115.26,85.255.112.110


Ahora estas entradas que le pongo a continuacion ud. le dara "FIX Cheked" siempre y cuando esta restricción en el Panel de Control no la haya puesto ud.

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present


Sin reiniciar, busque y elimine estos archivos o carpetas si aun estan:

C:\WINDOWS\system32\yaemu.exe

En los casos en los que los nombres de las carpetas y sus rutas no aparezcan completos, ayúdese del explorador de Windows para localizarlas.

Para archivos que no se dejen eliminar/encontrar use KillBox siguiendo las indicaciones del manual

• Recuerde vaciar la papelera

• Reinicie su ordenador

• En el caso que tenga problemas para conectarse a internet despues de eliminar las entradas 017 ejecute la herramienta WinSock XP Fix


• Analice su sistema con estas herramientas online:

• Ewido online

• BitDefender online

Ahora instale, actualice y ejecute estas otras aplicaciones:

• SpywareBlaster /Manual SpywareBlaster

• Ad-Aware 1.0.6

• SpyBoot S.D

• Disk cleaner

• RegSeeker. De este programa deberá usar principalmente la opción de «limpiar el registro»

• CCleaner/ manual

• Analice su sistema con su antivirus actualizado

• Analice su sistema con el Kaspersky online y nos pones aqui el informe que genera el Kaspersky

• Proteja su ordenador usando un navegador seguro como Firefox



Cuando termine nos pone un nuevo log de hijackthis y nos Cuenta los Resultados por favor

Disculpad que no haya cerrado el hilo pero mientras estuve intentando solucionar el tema algo paso (supongo que mi pc estaba mas infectado de lo que pensaba) y mi disco duro dejo de funcionar.
Asi que tuve que formatear todito y empezar de cero.
Logicamente con el ordenador fresco como una lechuga mis problemas desaparecieron.
Gracias de todas formas por vuestra ayuda. Aunque no la pude llegar a llevar a cabo del todo.

Digamos que se puede dar el tema por finiquitado.

Saludos a todos los foreros!