Blog Registrarse Manuales Programas Glosario

Regresar   Foro de Spyware » Spyware - Adware - Hijackers - Malwares » Temas Solucionados
 

Para evitar Virus, Spyware y otros Malwares, te recomendamos mantenerte informado en: InfoSpyware Blog


Temas Solucionados Casos de HijackThis y Malwares resueltos.
(Solo lectura)

Respuesta
 
Enviar a: Herramientas
  post #1  
Antiguo 11/06/05, 13:10:58
Usuario
 
Registrado: jun 2005
Ubicación: argentina
Mensajes: 8
Bien IP que se abre y archivos que se copian! (solucionado)

Holas a todos, que tal... bueno mi problema es basicamente que tengo un pequeño o spyware o algo destruido del win porque pareciera que alguien quiere estropearme la pc cada vez que me conecto a internet...
El tema es así:
Al principio tuve todo un drama con eso de que se habrian popups de publicidades aun estando desconectado y se instalaban muchos programas de esos que uno ve en las publicidades de software antispy(ej. powerscan) y demás... la cuestión es que seguí los pasos que recomendaron a un miembro de este foro que tenia el mismo problema.. y se solucionó(era el temilla del cfmon.exe--no confundir con ctfmon.exe )... en fin..despues de solucionado el problema... el unico residuo que ha quedado es que cuando me conecto a internet.. se abre Internet Explorer con la siguiente página web(dirección de ip):: http://217.170.4.137/_vti_bin/index.html
Y automáticamente en la carpeta WINDOWS\ aparecen ciertos archivos::

p.bat
update-sp1.htm
update-sp2.htm
update-sp3.htm
update-sp4.htm
kansy.reg
kany.reg

La cuestión es que ahora parece no actuar nada raro.. pero antes..cuando tenia la pc hecha un lio... estos archivos se abrian a mil por hora y ejecutaban cosas como activeX y programas de consola y cosas raras... ahora estan al parecer sin hacer nada... pero aun así... me parece peligroso que se copien o se instalen solos cada vez que me conecto a internet.. y que se me abra esa dirección de ip en Internet Explorer... si por favor alguien pudiera ayudarme con el tema..ya he probado de todo.. pero incluso con firewall y antispy sigue apareciendo... desde ya muchas gracias por la información...
les dejo mi log de Hijack:
--------------------------------------------------------------------------
Logfile of HijackThis v1.91.2
Scan saved at G12ANSOFT 01:07:17 p.m., on 11/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=062305 serial=DR12CNC-4037331-NGV lang=ES
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - HKLM\..\Run: [pE7TFDX8B] C:\WINDOWS\vycrgp.exe
O4 - HKLM\..\Run: [ktwfyjav] C:\WINDOWS\ktwfyjav.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - Startup: ARNET.lnk = ?
O4 - Startup: DTemp.lnk = C:\DTemp - HD Temp\DTemp.exe
O4 - Startup: eMule.lnk = C:\Archivos de programa\eMule\emule.exe
O4 - Startup: No-IP DUC.lnk = C:\Archivos de programa\No-IP\DUC20.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Archivos de programa\ISS\BlackICE\blackice.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Crear un favorito móvil (HKLM)
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... (HKLM)
O9 - Extra button: Pop-Up Blocker (HKLM)
O9 - Extra 'Tools' menuitem: Pop-Up Blocker (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

--------------------------------------------------------------------------

Muchas gracias por todo, salu2!

Germán

Última edición por gman fecha: 11/06/05 a las 13:15:15. Razón: Disculpen el título no era adecuado
Responder Con Cita
InfoSpyware

  post #2  
Antiguo 13/06/05, 17:16:44
Avatar de Jereque
Ex-Colaborador
 
Registrado: ene 2005
Mensajes: 9.010
Contactar con Jereque a través de MSN
Re: IP que se abre y archivos que se copian!

Esa versión de HijackThis que usas es vieja.

Descarga HijackThis 1.99.1 y nos dejas tu nuevo log.

Saludos


Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !!
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.
Responder Con Cita
  post #3  
Antiguo 13/06/05, 21:27:18
Usuario
 
Registrado: jun 2005
Ubicación: argentina
Mensajes: 8
Re: IP que se abre y archivos que se copian!

Bien, gracias por avisarme :dedosarri
Aquí les dejo el nuevo log:

Logfile of HijackThis v1.99.1
Scan saved at G12ANSOFT 09:26:44 p.m., on 13/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\WINDOWS\System32\KYSVCXD.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\Archivos de programa\ISS\BlackICE\blackd.exe
C:\WINDOWS\system32\altsvc.exe
C:\Archivos de programa\FSI\F-Prot\fpavupdm.exe
C:\WINDOWS\system32\msnmsgr.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\svchost.exe
C:\DTemp - HD Temp\DTemp.exe
C:\Archivos de programa\No-IP\DUC20.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Downloads\HijackThis 1.99.1 NUEVA\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=062305 serial=DR12CNC-4037331-NGV lang=ES
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - HKLM\..\Run: [pE7TFDX8B] C:\WINDOWS\vycrgp.exe
O4 - HKLM\..\Run: [ktwfyjav] C:\WINDOWS\ktwfyjav.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - Startup: ARNET.lnk = ?
O4 - Startup: DTemp.lnk = C:\DTemp - HD Temp\DTemp.exe
O4 - Startup: eMule.lnk = C:\Archivos de programa\eMule\emule.exe
O4 - Startup: No-IP DUC.lnk = C:\Archivos de programa\No-IP\DUC20.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Archivos de programa\ISS\BlackICE\blackice.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Archivos de programa\WINnerTweak3\PopUp Blocker.exe
O9 - Extra 'Tools' menuitem: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - C:\Archivos de programa\WINnerTweak3\PopUp Blocker.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B6D1F03-3E92-4C1D-884B-CCC7F75F96C0}: NameServer = 200.45.191.35 200.45.191.40
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Archivos de programa\ISS\BlackICE\blackd.exe
O23 - Service: COM+ Alerter Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe
O23 - Service: DHCP-Verwaltung - Unknown owner - C:\Archivos de programa\eMule\incoming\TmSunrise No CD Crack\TmSunrise No CD Crack.exe (file missing)
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Archivos de programa\FSI\F-Prot\fpavupdm.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RapApp - Internet Security Systems, Inc. - C:\Archivos de programa\ISS\BlackICE\rapapp.exe
O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)
Responder Con Cita
  post #4  
Antiguo 15/06/05, 17:10:02
Avatar de Jereque
Ex-Colaborador
 
Registrado: ene 2005
Mensajes: 9.010
Contactar con Jereque a través de MSN
Re: IP que se abre y archivos que se copian!

Hola!!!

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Pasa al menos 2 de estos Antivirus Online

4) Reinicia a prueba de fallos

5) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE

O4 - HKLM\..\Run: [pE7TFDX8B] C:\WINDOWS\vycrgp.exe

O4 - HKLM\..\Run: [ktwfyjav] C:\WINDOWS\ktwfyjav.exe

O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE

O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE

O23 - Service: COM+ Alerter Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe

O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

6) Busca y elimina estos archivos:

C:\WINDOWS\System32\KYSVCXD.EXE
C:\WINDOWS\system32\altsvc.exe
C:\WINDOWS\vycrgp.exe
C:\WINDOWS\ktwfyjav.exe
C:\WINDOWS\System32\cfmon.exe --> no lo confundas con ctfmon

Para archivos que no se dejen eliminar usa KillBox

7) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

8) Elimina cookies y temporales de internet con Disk Cleaner y vacia la papelera.

9) Reinicia normal y nos cuentas los resultados.

¿Sabes tu a que pertenece esta entrada?

O23 - Service: DHCP-Verwaltung - Unknown owner - C:\Archivos de programa\eMule\incoming\TmSunrise No CD Crack\TmSunrise No CD Crack.exe (file missing)

No me suena muy bien

Saludos


Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog


* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !!
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.
Responder Con Cita
  post #5  
Antiguo 15/06/05, 18:47:36
Usuario
 
Registrado: jun 2005
Ubicación: argentina
Mensajes: 8
Bien Re: IP que se abre y archivos que se copian!

WENAS!!

Holas, bueno pues muchas gracias! Ya se ha resuelto el tema... muchisimas gracias por su ayuda

En fin... eliminé las entradas y borré los archivos.. y bueno pues hasta ahora no se ha vuelto a abrir la web ni los archivos .bat etc. :dedosarri

Con respecto a la última pregunta... esa entrada corresponde a un programilla que simulaba desinstalar las unidades de CD.... en fin.. ya lo habia desinstalado por lo que borré la entrada (fix)

Muchisimas gracias por todo!!

Salu2!
Germán
Responder Con Cita
Respuesta

Herramientas

Reglas del foro
No puedes crear nuevos temas
No puedes responder temas
No puedes subir adjuntos
No puedes editar tus mensajes

BB code is activado
Las caritas están activado
Código [IMG] está activado
Código HTML está desactivado
Trackbacks are desactivado
Pingbacks are activado
Refbacks are activado


Temas Similares
Tema Autor Foro Respuestas Último mensaje
Pagina que se abre Aurota Nail.exe (solucionado) chiquito Temas Solucionados 18 10/06/05 11:48:18
se abre el aurora cada vezque acceso internet - (solucionado) galon Temas Solucionados 2 27/05/05 00:44:34
Problema con el escritorio y con una ventana del msn que se me abre (solucionado) Alfre Temas Solucionados 5 23/05/05 04:47:25
se me abre PoPup "Aurora" (solucionado) petanosky Temas Solucionados 8 09/05/05 07:57:41
se abre una pagina cada vez que me conecto a internet (solucionado) Lizbert Temas Solucionados 3 20/04/05 14:30:08




Todas las horas son GMT -4. La hora es 15:42:08.


 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31