Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola buenas, escribo para pedir ayuda sobre este problema:
Ayer me llego el siguiente mensaje d uno d mis contactos del messenger:

woah u look hell funny
http://teh-cia.us/pics/pics.php?email=midireccion@hotmail.com

Le di a ese enlace y se descargo un archivo en mi PC. A p'artir de entonces cuando estoy conectado se abren solas las ventanasde los contactos q estan conectados y se envia el mismo mensaje a los q estan conectados en ese momento.
Ya borre ese archivo del ordenador, hice un virus-scan y todos los virus están eliminados, pero cuando me conecto cada poco vuelve a reenviar el mensaje del virus.
Si sabeis como solucionar este problema sería de gran ayuda. Muchas gracias

Hola eljandro

Realiza todos los pasos sin saltarte ninguno,por favor.

Tienes ir a *windowsupdate y AQUIy actualizar tu S.O. y el I.E.

Le pasas el * RegSeeker para limpiar el registro y su manual pasalo varias veces hasta q ya no te salga nada.

Luego pones un log del *HijackThis aqui mismo sin saltarte ningun paso.

Estaremos a la espera

Cuando estoy limpiando el registro con el Regseeker llega un momento q cada vez q le doy a limpiar me salen las 2 mismas cosas q elimine antes. Esas dos entradas son:
HKEY_CLASSES_ROOT
CLSID\-{5C4C8078-24CF-4c71-B05E-8B1D935DB5AC}-\LocalServer32
"C:\Archivos de programa\MSN Messenger\msnmsgr.exe"
File or path does not exist

La segunda:

HKEY_CLASSES_ROOT
CLSID\-{98D9A6F1-4696-4B5E-A2E8-36B3F9C1E12C}
Invalid ActiveX/COM entry (CLSID) (en rojo)

Las elimino pero en la siguiente limpieza vuelven a aparecer,¿q hago?
Gracias y un saludo.

Hola eljandro

Posiblemente sera algun proceso q se esta ejecutando, dejalo y sigue con los

demas pasos.

Aquí esta el log del Hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 16:34:40, on 28/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
c:\windows\system32\cqyrlcs.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\apvxdwin.exe
C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\ARCHIV~1\Toolbar\TBPS.exe
C:\ARCHIV~1\Toolbar\PIB.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\System32\apachet.exe
C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\NavExcel\NavHelper\v2.0.4d\navapp.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe
C:\Archivos de programa\InkSaver\InkSaver.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Palm\HOTSYNC.EXE
C:\Archivos de programa\180searchassistant\salm.exe
C:\Archivos de programa\eMule\emule.exe
C:\eisj.exe
C:\eisj.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\DOCUME~1\user\CONFIG~1\Temp\Rar$EX01.285\Hijack This.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\ARCHIV~1\Toolbar\toolbar.dll/sa
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\ARCHIV~1\Toolbar\toolbar.dll/sa
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\ARCHIV~1\Toolbar\toolbar.dll
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Archivos de programa\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\ARCHIV~1\Toolbar\toolbar.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\ARCHIV~1\Toolbar\toolbar.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [UpConfgVer] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\UpgConf.exe" /v:7.05.07
O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.3000.1001\es\msnappau.exe"
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [System Service] apachet.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Archivos de programa\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [navapp] C:\Archivos de programa\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [mouseElf] C:\ARCHIV~1\TWINTO~1\MouseElf.EXE
O4 - HKLM\..\Run: [InkSaver] C:\Archivos de programa\InkSaver\InkSaver.exe hide
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [TBPS] C:\ARCHIV~1\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [eqnuezk] c:\windows\system32\cqyrlcs.exe r
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\user\CONFIG~1\Temp\bundle_cdt1006.exe run
O4 - HKLM\..\RunServices: [System Service] apachet.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [180ClientStubInstall] "C:\Temp\180SA3013.exe"
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://kz.bar.need2find.com/KZ/menusearch.html?p=KZ
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - C:\WINDOWS\System32\shdocvw.dll (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int4.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119888419436
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\ARCHIV~1\Toolbar\toolbar.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Gracias y un saludo

Hola eljandro

Realiza todos los pasos sin saltarte ninguno,por favor.

Pasale *2 antivirus online

Apaga tu ruter/moden y desconecta el cable de tf. de la torre.

*Ver archivos ocultos en todos los Windows

*Apagar Restaurar Sistema (Systema Restore)

*Reinicia el PC en Modo a prueba de fallos

Con el Administrador de Tareas, Ctrl-Alt-Supr,detienes estos procesos:

apachet.exe
navapp.exe
MediaAccK.exe
MediaAccess.exe
MediaAccess.exe
salm.exe
eisj.exe
eisj.exe


Con todos los programas cerrados,ejecuta el Hijackthis y dale FIX a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\ARCHIV~1\Toolbar\toolbar.dll/sa
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\ARCHIV~1\Toolbar\toolbar.dll/sa
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\ARCHIV~1\Toolbar\toolbar.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Archivos de programa\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\ARCHIV~1\Toolbar\toolbar.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\ARCHIV~1\Toolbar\toolbar.dll
O4 - HKLM\..\Run: [System Service] apachet.exe
O4 - HKLM\..\Run: [navapp] C:\Archivos de programa\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [TBPS] C:\ARCHIV~1\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [eqnuezk] c:\windows\system32\cqyrlcs.exe r
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\user\CONFIG~1\Temp\bundle_cdt1006.exe run
O4 - HKLM\..\RunServices: [System Service] apachet.exe
O4 - HKCU\..\Run: [180ClientStubInstall] "C:\Temp\180SA3013.exe"
O8 - Extra context menu item: &Search - http://kz.bar.need2find.com/KZ/menusearch.html?p=KZ
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int4.exe
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\ARCHIV~1\Toolbar\toolbar.dll
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Busca y elimina estos archivos/carpetas.Utiliza el KillBox si no puedes.

C:\WINDOWS\System32\apachet.exe
C:\Archivos de programa\NavExcel\NavHelper\v2.0.4d\navapp.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Archivos de programa\180searchassistant\salm.exe

Pasa estas herramientas: *Ad-Aware 1.06 SE Personal

*Disk Cleaner para limpiar cookis y temporales.

* RegSeeker para limpiar el registro y su manual pasalo varias veces hasta q ya no te salga nada.

Instalate el *SpywareBlaster 3.4

Reinicia y te conectas a la red.

Y le pasas el *Spybot S.D.

No veo q tengas un cortafuegos/firewall y aqui puedes elegir uno

Pones otro log y nos cuentas los resultados.