Hola!

tengo unos problemillas a ver si me podéis iluminar...

Para empezar mi pc está super lento y cuando me conecto (con dial up) se me disconecta cada dos por tres. No duro mucho en la red, por eso no puedo pasar ningún antivirus online.

Creo que ya conseguí quitarme de encima un Eliterjc32.exe y un pokapoka65.exe, pero el pc sigue igual de lento, así que no tengo ni idea de qué más estoy infectada aparte del landzardll.exe...

A ver si me podeis echar una mano!
Muchas gracias!

Pasando el Hijack, me sale esto:

Logfile of HijackThis v1.99.1
Scan saved at 10:45:44 μμ, on 29/8/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2

(6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust

EZ Antivirus\ISafe.exe
C:\Program

Files\Symantec_Client_Security\Symantec

AntiVirus\DefWatch.exe
C:\Program Files\Common Files\Microsoft

Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CA\eTrust

PestPatrol\PPActiveDetection.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust

EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust

EZ Antivirus\CAVRID.exe
C:\WINDOWS\System32\revisorsystray.exe
C:\Program Files\CA\eTrust Internet

Security Suite\caissdt.exe
C:\Program Files\Common

Files\Real\Update_OB\realsched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\Google

Talk\googletalk.exe
C:\Program Files\CA\eTrust Internet

Security Suite\caISS.exe
C:\Program Files\Mozilla

Firefox\firefox.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust

EZ Antivirus\VetMsg.exe
C:\Program Files\Microsoft

Office\Office10\WINWORD.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet

Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet

Explorer,(Default) = www.google.com
R1 - HKCU\Software\Microsoft\Internet

Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet

Explorer\Main,Start Page =

http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet

Explorer\Search,SearchAssistant =

about:blank
R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName =

Συνδέσεις
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program Files\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) -

{53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program

Files\CA\eTrust

PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [CaAvTray] "C:\Program

Files\CA\eTrust EZ Armor\eTrust EZ

Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program

Files\CA\eTrust EZ Armor\eTrust EZ

Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [cploader.exe]

C:\WINDOWS\System32\cploader.exe
O4 - HKLM\..\Run: [revisorsystray.exe]

C:\WINDOWS\System32\revisorsystray.exe
O4 - HKLM\..\Run: [CaISSDT] "C:\Program

Files\CA\eTrust Internet Security

Suite\caissdt.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program

Files\Common

Files\Real\Update_OB\realsched.exe"

-osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Program

Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Program

Files\Google\Google Talk\googletalk.exe"

/autostart
O4 - Startup: RevisorSystray.lnk =

C:\WINDOWS\system32\revisorsystray.exe
O4 - Global Startup: Adobe Reader Speed

Launch.lnk = C:\Program

Files\Adobe\Acrobat

7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to

Microsoft Excel -

res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.

EXE/3000
O9 - Extra button: Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows

Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: decora12 -

{03FBB191-FB50-4154-91D7-587D5E3C0000} -

C:\Documents and Settings\COMPAQ

USER\Application

Data\MATRIX\decora12\LanzarDll.exe (HKCU)
O9 - Extra 'Tools' menuitem: decora12 -

{03FBB191-FB50-4154-91D7-587D5E3C0000} -

C:\Documents and Settings\COMPAQ

USER\Application

Data\MATRIX\decora12\LanzarDll.exe (HKCU)
O15 - Trusted Zone:

http://*.download.microsoft.com
O15 - Trusted Zone:

http://*.update.microsoft.com
O15 - Trusted Zone:

http://*.windowsupdate.com
O15 - Trusted Zone:

http://*.windowsupdate.microsoft.com
O16 - DPF:

{17492023-C23A-453E-A040-C7C580BBF700}

(Windows Genuine Advantage Validation

Tool) -

http://go.microsoft.com/fwlink/?linkid=392

04
O16 - DPF:

{6414512B-B978-451D-A0D8-FCFDF33E833C}

(WUWebControl Class) -

http://update.microsoft.com/windowsupdate/

v6/V5Controls/en/x86/client/wuweb_site.cab

?1121005075115
O16 - DPF:

{6E32070A-766D-4EE6-879C-DC1FA91D2FC3}

(MUWebControl Class) -

http://update.microsoft.com/microsoftupdat

e/v6/V5Controls/en/x86/client/muweb_site.c

ab?1121176399973
O16 - DPF:

{9A9307A0-7DA4-4DAF-B042-5009F29E09E1}

(ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as

5free/asinst.cab
O16 - DPF:

{D19781C5-2051-44F8-8445-DDC82933C191}

(VacPro.internazionale_ver11) -

http://advnt01.com/dialer/internazionale_v

er11.CAB
O17 -

HKLM\System\CCS\Services\Tcpip\..\{9D247A5

E-9544-4166-AC85-273CBE36B296}: NameServer

= 80.58.61.250 80.58.61.254
O20 - Winlogon Notify: NavLogon -

C:\WINDOWS\System32\NavLogon.dll
O21 - SSODL: SystemCheck2 -

{54645654-2225-4455-44A1-9F4543D34545} -

C:\WINDOWS\System32\vbsys2.dll (file

missing)
O23 - Service: CAISafe - Computer

Associates International, Inc. -

C:\Program Files\CA\eTrust EZ Armor\eTrust

EZ Antivirus\ISafe.exe
O23 - Service: DefWatch - Symantec

Corporation - C:\Program

Files\Symantec_Client_Security\Symantec

AntiVirus\DefWatch.exe
O23 - Service: Network Client (nwclntd) -

Unknown owner -

C:\WINDOWS\system32\netclnd.exe (file

missing)
O23 - Service: VET Message Service

(VETMSGNT) - Computer Associates

International, Inc. - C:\Program

Files\CA\eTrust EZ Armor\eTrust EZ

Antivirus\VetMsg.exe

Hola y Bienvenid@ a Forospyware!


El log está mal colocado y así no podemos revisarlo

Lee acá y deja un nuevo log (debes pegarlo tal cual como te aparece en el block de notas sin dejar líneas de por medio)



Salu2

Hola de nuevo!

gracias por darme la bienvenida! Sí, soy nueva y un poquito perdida...
Te aseguro que pegué el log justo cómo estaba, sin dejar lineas en medio...
Bueno, lo vuelvo a mandar a ver si ahora llega en condiciones!

Muchas gracias!

Logfile of HijackThis v1.99.1
Scan saved at 10:06:08 πμ, on 30/8/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\WINDOWS\System32\revisorsystray.exe
C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
C:\Program Files\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Συνδέσεις
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [cploader.exe] C:\WINDOWS\System32\cploader.exe
O4 - HKLM\..\Run: [revisorsystray.exe] C:\WINDOWS\System32\revisorsystray.exe
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - Startup: RevisorSystray.lnk = C:\WINDOWS\system32\revisorsystray.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: decora12 - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\COMPAQ USER\Application Data\MATRIX\decora12\LanzarDll.exe (HKCU)
O9 - Extra 'Tools' menuitem: decora12 - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\COMPAQ USER\Application Data\MATRIX\decora12\LanzarDll.exe (HKCU)
O15 - Trusted Zone: http://*.download.microsoft.com
O15 - Trusted Zone: http://*.update.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121005075115
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1121176399973
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D247A5E-9544-4166-AC85-273CBE36B296}: NameServer = 80.58.61.250 80.58.61.254
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Network Client (nwclntd) - Unknown owner - C:\WINDOWS\system32\netclnd.exe (file missing)
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

Descarga las siguientes herramientas:

• Killbox
  
• Regseeker
  
• Disk Cleaner

Paso 1:

• Desactiva la restauracion del sistema
  
• Configura el sistema para ver todos los archivos ocultos

Paso 2:

Ejecuta el hijackthis sin tener ningn otro programa abierto, marca y dale FixChecked a las siguientes entradas:

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)

O23 - Service: Network Client (nwclntd) - Unknown owner - C:\WINDOWS\system32\netclnd.exe (file missing)



Paso 3:

• Reinicia el sistema en modo a prueba de fallos (modo seguro)

Copia y pega las siguientes entradas en el Killbox (una a la vez) donde dice "Full Path of File to Delete" y le das click al boton rojo con cruz blanca del programa para eliminar el archivo:

C:\WINDOWS\System32\vbsys2.dll

C:\WINDOWS\system32\netclnd.exe


Limpia los temporales y cookies con el Disk Cleaner

Limpia el registro de windows con el Regseeker (pasalo varias veces hasta que no quede nada por limpiar)



Paso 4:

Reincia el sistema en modo normal

Haz un chequeo con los antivirus online Kaspersky y Ewido y deja los reportes del kaspersky online


Nos comentas como te fue y dejas un nuevo log para ver como quedo



Salu2

Hola hola!

muchas gracias, seguiré los pasos a pie de letra y os comento...

Una duda solamente: me dices que limpie el registro de windows con Regseeker, y pasarlo varias veces hasta limpiarlo todo. Entonces tengo que borrar tooodo lo que me sale al pulsar "limpiar registro"???

Al seleccionar lo que debo borrar también me pregunta si seleccionar lo rojo,lo verde o todo... No entiendo nada la verdad, pero es que me salen unas 900 cosas y me pareció bastante grave borrar algo de ahí que no debo...
¿Qué hago?

Mil gracias por tu paciencia

Buenas!

sí, después de informarme mejor en esta web estupenda me he asegurado que efectivamente tengo que borrar todo lo que me sale en "limpiar registro".

De hecho lo acabo de hacer y siguo en la guerra contra los malignos malwares...

Ciao!

Hola, disculpa por no haber podido antes responder a tu pregunta....


Ahora, siguen los problemas con los virus? en caso de tu respuesta ser afirmativa, descarga la herramienta Mwav y deja acá el reporte (coloca solo las entradas que digan Tagged o Infected)




Salu2

Hola!

no te preocupes. Parece que hay cosas que logro solucionar pero me temo que sigo con problemas...

Ahora mismo estoy pasando el segundo antivirus, el Kaspersky, pero el pc va realmete lento y se me desconecta de internet cada poco...

Bueno en un ratito te cuento!