Logfile of HijackThis v1.99.1
Scan saved at 15:34:49, on 17-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
c:\archivos de programa\softwin\bitdefender free edition\bdmcon.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Windows Media Player\wmplayer.exe
C:\Documents and Settings\ADMIN\Mis documentos\Claudio\limpieza sistema\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMIN\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMIN\CONFIG~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {BD688D65-195A-4A0B-9353-E4C8CDE81541} - C:\WINDOWS\System32\pham.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Archivos de programa\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Archivos de programa\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DD4AD08-D1F9-497D-90C7-B11A20F53999}: NameServer = 200.28.4.129 200.28.4.130
O18 - Filter: text/html - {53FF65BB-45E2-4F46-826B-DA742F3D6263} - C:\WINDOWS\System32\pham.dll
O18 - Filter: text/plain - {53FF65BB-45E2-4F46-826B-DA742F3D6263} - C:\WINDOWS\System32\pham.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe
O23 - Service: PER Antivirus Security Service (pav_security) - Unknown owner - (no file)
O23 - Service: PER Antivirus (pav_service) - Unknown owner - (no file)
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe


por favor ayundeme kon este log!

Hola!!!

Sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Pasa al menos 2 de estos Antivirus Online

4) Reinicia a prueba de fallos

5) Ejecuta CWShredder 2.15 y dale al botón Fix.

6) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMIN\CONFIG~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\ADMIN\CONFIG~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {BD688D65-195A-4A0B-9353-E4C8CDE81541} - C:\WINDOWS\System32\pham.dll

O18 - Filter: text/html - {53FF65BB-45E2-4F46-826B-DA742F3D6263} - C:\WINDOWS\System32\pham.dll

O18 - Filter: text/plain - {53FF65BB-45E2-4F46-826B-DA742F3D6263} - C:\WINDOWS\System32\pham.dll

O23 - Service: PER Antivirus Security Service (pav_security) - Unknown owner - (no file)

O23 - Service: PER Antivirus (pav_service) - Unknown owner - (no file)

7) Busca y elimina estos archivos:

C:\WINDOWS\svchost.exe --> el archivo svchost es legítimo, pero debe estar en system32, por lo que este es un virus. Nunca elimines el de System32.
C:\DOCUME~1\ADMIN\CONFIG~1\Temp\se.dll
C:\WINDOWS\System32\pham.dll

Para archivos que no se dejen eliminar usa KillBox

8) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado.

9) Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

10) Reinicia normal y nos cuentas los resultados.

Saludos

nuevo log.. y aún sigo kon problemas...me vuelven a aparecer ciertas kosas.. yno se por ké...

Logfile of HijackThis v1.99.1
Scan saved at 11:55:21, on 18-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\Archivos de programa\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\win32.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\System32\SMSSU.EXE
C:\WINDOWS\System32\Tmntsrv32.EXE
C:\temp\sahagent-cdt1004.exe
C:\Documents and Settings\ADMIN\Mis documentos\Claudio\limpieza sistema\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - (no file)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Archivos de programa\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Archivos de programa\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMIN\CONFIG~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exe
O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE
O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DD4AD08-D1F9-497D-90C7-B11A20F53999}: NameServer = 200.28.4.129 200.28.4.130
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: PER Antivirus Security Service (pav_security) - Unknown owner - (no file)
O23 - Service: PER Antivirus (pav_service) - Unknown owner - (no file)
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe



please.. help me... necesito ayuda.. urgente.!!

Hola!!!

Bueno, pues ahora tienes una infección completamente diferente, lo que indica que tu sistema es vulnerable, por lo que tendrás que pasar urgentemente por Windows Update y descargar todas las actualizaciones críticas y de seguridad. Debes instalarte ya el SP2.

Después sigue estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Pasa al menos 2 de estos Antivirus Online

4) Reinicia a prueba de fallos

5) Desde panel de control/agregar o quitar programas desinstala si está:

Media Access

6) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

O2 - BHO: (no name) - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - (no file)

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMIN\CONFIG~1\Temp\se.dll,DllInstall

O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exe

O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE

O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE

O23 - Service: PER Antivirus Security Service (pav_security) - Unknown owner - (no file)

O23 - Service: PER Antivirus (pav_service) - Unknown owner - (no file)

7) Busca y elimina estoa archivos y/o carpetas:

C:\WINDOWS\System32\win32.exe
C:\Program Files\Media Access\
C:\WINDOWS\System32\SMSSU.EXE
C:\WINDOWS\System32\Tmntsrv32.EXE
C:\temp\sahagent-cdt1004.exe
C:\DOCUME~1\ADMIN\CONFIG~1\Temp\se.dll

Para archivos que no se dejen eliminar usa KillBox

8) Limpia el registro con RegSeeker y pasa Ad-Aware actualizado. De RegSeeker deberás usar la opción "limpiar el registro" y pasarlo varias veces hasta que no te detecte nada.

9) Elimina cookies y temporales con Disk Cleaner y vacía la papelera.

10) Reinicia normal y nos cuentas los resultados.

Saludos

no puede ser.. =( reinicie en mode de fallos..y borre lo ke pude borrar. ( no se por ke pierdo la opcion de mover el mouse) bueno la kosa es ke al final borré ciertas entradas... salvo estas.. ke nunka me dejó

smssu.exe
tmntsrv32.exe

al reiniciar.. traté de borrarlo pero no aparecen... :eek: asike no se ke hacer.. espero me ayuden... me salen demasiadas pop up. de cassino.y kosas así.. y mi pagina de inicio se kambia a kada rato.. aki mi log.. mas reciente..

Logfile of HijackThis v1.99.1
Scan saved at 22:50:48, on 18-06-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe
C:\Archivos de programa\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\ssstars.scr
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\SMSSU.EXE
C:\WINDOWS\System32\Tmntsrv32.EXE
C:\Documents and Settings\ADMIN\Mis documentos\Claudio\limpieza sistema\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: XMLDP Class - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - C:\WINDOWS\xmllib.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\ZyXEL\ADSL USB Modem\CnxDslTb.exe"
O4 - HKLM\..\Run: [BDMCon] C:\Archivos de programa\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Archivos de programa\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE
O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DD4AD08-D1F9-497D-90C7-B11A20F53999}: NameServer = 200.28.4.129 200.28.4.130
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: PER Antivirus Security Service (pav_security) - Unknown owner - (no file)
O23 - Service: PER Antivirus (pav_service) - Unknown owner - (no file)
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe


en verdad ke estoy estresandome kon este asunto. porfavor porfavor.. aydenme

Sigue los pasos anteriores, pero ahora deberás dar fix a:

O2 - BHO: XMLDP Class - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - C:\WINDOWS\xmllib.dll

O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE

O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE

O23 - Service: PER Antivirus Security Service (pav_security) - Unknown owner - (no file)

O23 - Service: PER Antivirus (pav_service) - Unknown owner - (no file)

Y eliminar estos archivos usando KillBox (siguiendo los pasos del enlace):

C:\WINDOWS\System32\SMSSU.EXE
C:\WINDOWS\System32\Tmntsrv32.EXE
C:\WINDOWS\xmllib.dll

Después nos cuentas...

Saludos

diskulpen por la tardía de la respuesta por mi parte.. .. bueno el asunto mejoró notablemente.. borré la entradas y ahora no tengo mayores problemas..
asike podriamos darlo por solucionada... muchisimas GRACIAS.

Salu2 a todos.. excelente foro. ayuda oportuna y precisa.. increible paciencia kon los ke no sabemos nada de nada.. .. asike muchisimas gracias...