Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, hace poco mi compu se infecto con Smitfraud-c. Segui las instrucciones que estan en este foro. Esto fue lo que hice:

-Desactive "restaurar sistema".
-Inicie mi maquina en modo seguro.
- Corri el spybot para eliminar todo lo malo que tenía, excepto un archivo "rpcc.dll", spybot decia que este era el causante de los problemas.
- Elimine rpcc.dll con killbox
- Corri Hijackthis y trate de buscar las claves de registro que estaban en el tutorial que seguí en este foro. No enconté nínguna (según yo), pero encontré una que hacía referencia al archivo "rpcc.dll" y la elimine.
- Despues limpie mi maquina con CCleaner, borre todo lo que pude, registros, cookies, archivos temporales.
- Al final Corri DelPSGuard y use la herramienta de "liberador de espacio".

Conseguí mantener el wallpaper que tenía antes y los popups no se tan frecuentes como antes, peor aún tengo un molesto ícono en mi barra de tareas.

los siguientes pasos los repetí varias veces:
-Scanear todo con spybot y eliminar spywares
-Limpiar todo con CCleaner
-Scanear el registro con Hijackthis, para ver si ecuentro algo sospechoso.
-Corrí varias veces DelPSGuard.

Pero aún tengo el molesto ícono y ,e siguen apareciendo algunos popups que practicamente me obligan a descargar "drivecleaner".

Hojala puedan darme alguna pista, porque spybot ya no detecta ningun problema relacionado a smitfraud y no se por donde buscar.

Aqui esta mi ultimo log de Hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 04:20:49 p.m., on 09/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Propietario\Escritorio\VIRUS\exes\HiJackT his_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://google.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: VPNS System - {366B2151-E1C7-44a3-86A3-E5686C2A3D2F} - C:\WINDOWS\iedrives.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-us\msntb.dll
O3 - Toolbar: El kit de herramientas de hp - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\HP\EXPLOREBAR\HPTOOLKT.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es-us\msntb.dll
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [hp Silent Service] C:\Windows\system32\HpSrvUI.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CMPDPSRV] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\CMPDPSR V.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Archivos de programa\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [MediaCtr] C:\WINDOWS\mediacon.exe -i
O4 - HKLM\..\Run: [Avg Antivirus] C:\WINDOWS\System32\icpldrvx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Archivos de programa\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\updater.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227 A755E9C2933154389A
O4 - HKLM\..\Run: [ntvmm.exe] ntvmm.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IpWins] C:\Archivos de programa\Ipwindows\ipwins.exe
O4 - HKCU\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe
O4 - HKLM\..\Policies\Explorer\Run: [msdrvctrl] C:\WINDOWS\msdrvctrl.exe
O4 - HKUS\S-1-5-21-3815399715-1332177885-1691291169-1003\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-21-3815399715-1332177885-1691291169-1003\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User '?')
O4 - HKUS\S-1-5-21-3815399715-1332177885-1691291169-1003\..\Run: [BitTorrent] "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized (User '?')
O4 - HKUS\S-1-5-21-3815399715-1332177885-1691291169-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-3815399715-1332177885-1691291169-1003\..\Run: [IpWins] C:\Archivos de programa\Ipwindows\ipwins.exe (User '?')
O4 - HKUS\S-1-5-21-3815399715-1332177885-1691291169-1003\..\Run: [svrhost.exe] C:\WINDOWS\system32\svrhost.exe (User '?')
O4 - S-1-5-21-3815399715-1332177885-1691291169-1003 Startup: ctfmon.exe (User '?')
O4 - Startup: ctfmon.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk789YYMX
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Archivos de programa\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file in Winsock LSP: abcdefgh.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://sharon21spain.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{021CF68F-D126-498D-AA8D-E39F4D0E7EC1}: NameServer = 80.118.192.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{55A7B868-F06E-4F0B-A90C-E9128225EE7A}: NameServer = 80.118.192.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A19F6FD-D51A-4B68-9404-3100869701DE}: NameServer = 80.118.192.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE7D665D-EEE8-4593-B60A-DD1A049EA21A}: NameServer = 80.118.192.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF8D15D7-A9AB-403C-B271-4AB8EBF8806D}: NameServer = 80.118.192.111
O17 - HKLM\System\CS3\Services\Tcpip\..\{021CF68F-D126-498D-AA8D-E39F4D0E7EC1}: NameServer = 80.118.192.111
O17 - HKLM\System\CS4\Services\Tcpip\..\{021CF68F-D126-498D-AA8D-E39F4D0E7EC1}: NameServer = 80.118.192.111
O20 - AppInit_DLLs:
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll
O21 - SSODL: CDRecorder036 - {A3BC5E20-0235-1ABF-9CE1-00AA00512036} - C:\WINDOWS\system32\zlcrd32.dll
O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\system32\unzbq.dll
O21 - SSODL: HfIXeuNw - {B087505B-1A2D-FAF1-E5F2-A0A6A1D9AAFF} - C:\WINDOWS\system32\xv.dll
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\system32\unzbq.dll
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Hola shalala, te doy la bienvenida al Foro de InfoSpyware.

Por el momento todavía no brindamos soporte para la nueva versión de HijackThis 2.0.0 (BETA) por lo que descarga la versión 1.99.1 y déjanos un nuevo log en este mismo mensaje.

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Descarga, actualiza y ejecuta

• DelPSGuard (en su ultima version disponible)
• SuperAntiSpyware

Realiza un escaneo online con "Panda ActiveScan Online" y nos dejas sus reportes en este mismo mensaje.

Salu2

Revise mi PC con panda online y me dio un reporte del cual removi manualmente casi todos los archivos, ya que la mayoria eran archivos html. Logre que despareciera el ícono molesto de la barra de tareas, pero aún me aparecen unos popups acerca de "drive cleaner".

Volvi a correr panda, despues corri DelPSGuard, ejecute el liberador de espacio en disco y despues Hijackthis.

La segunda vez que corri panda ya no removi nada, porque despues de haberlo hecho una vez, no solo removi spyware. Ahora no puedo ejecutar "msconfig" desde la ventana de ejecutar que se encuentra en el menu inicio, sino que tengo que hacerlo manualmente desde c:\windows\servicepackfiles\i386\msconfig y tampoco puedo activar el firewall de windows :-s. Ojala me puedan ayudar con eso, escuche que existe un depurador o algo asi que sirve para corregir este tipo de errores, es cierto?

aqui estan los reportes:


Reporte Panda
Incidencia Estado Elemento

Virus:Bck/Hupigon.AWG Desinfectado Sistema Operativo

Herramienta potencialmente no deseada:application/funweb No desinfectado c:\windows\downloaded program files\f3initialsetup1.0.0.15.inf

Herramienta potencialmente no deseada:application/mywebsearch No desinfectado HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&Search\

Virus:W32/Nurech.X.worm Desinfectado C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\01234567\inst[1].exe

Virus:Bck/Hupigon.AWG Desinfectado C:\Documents and Settings\Propietario\Configuración local\Temp\maindll.dll

Spyware:Cookie/DriveCleaner No desinfectado C:\Documents and Settings\Propietario\Cookies\propietario@driveclea ner[2].txt

Spyware:Cookie/Mediaplex No desinfectado C:\Documents and Settings\Propietario\Cookies\propietario@mediaplex[1].txt

Dialer:Dialer.KAJ No desinfectado C:\Documents and Settings\Propietario\Datos de programa\Microsoft\Installer\{9D148290-B9C8-11D0-A4CC-0000F80149F6}\ntvmm.exe

Spyware:Cookie/Tribalfusion No desinfectado C:\Documents and Settings\Propietario\Datos de programa\Mozilla\Firefox\Profiles\9gca4597.Usuario por defecto\cookies.txt[.tribalfusion.com/]

Hacktool:HackTool/EvID No desinfectado C:\Documents and Settings\Propietario\Escritorio\VIRUS\exes\EvID422 6Patch223d-en.zip[EvID4226Patch.exe]

Herramienta potencialmente no deseada:Application/KillApp.B No desinfectado C:\hp\bin\KillIt.exe

Herramienta potencialmente no deseada:Application/KillApp.A No desinfectado C:\hp\bin\Terminator.exe

Dialer:Dialer.GQK No desinfectado C:\WINDOWS\Downloaded Program Files\int_ver34.INF

Adware:Adware/CWS No desinfectado C:\WINDOWS\system32\bak\svrhost.exe

Virus:W32/Nurech.X.worm Desinfectado C:\WINDOWS\system32\inst.exe

Adware:Adware/CWS No desinfectado C:\WINDOWS\system32\svrhost.exe1176241632

Reporte Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 10:28:34 p.m., on 11/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Source Engine\OSE.EXE
C:\Documents and Settings\Propietario\Escritorio\VIRUS\exes\HijackT his.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://google.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {366B2151-E1C7-44a3-86A3-E5686C2A3D2F} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: El kit de herramientas de hp - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\HP\EXPLOREBAR\HPTOOLKT.DLL
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\Run: [ntvmm.exe] ntvmm.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\ServicePackFiles\i386\msconfig.exe /auto
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk789YYMX
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Archivos de programa\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O10 - Broken Internet access because of LSP provider 'abcdefgh.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://sharon21spain.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{021CF68F-D126-498D-AA8D-E39F4D0E7EC1}: NameServer = 80.118.192.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{55A7B868-F06E-4F0B-A90C-E9128225EE7A}: NameServer = 80.118.192.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A19F6FD-D51A-4B68-9404-3100869701DE}: NameServer = 80.118.192.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE7D665D-EEE8-4593-B60A-DD1A049EA21A}: NameServer = 80.118.192.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF8D15D7-A9AB-403C-B271-4AB8EBF8806D}: NameServer = 80.118.192.111
O17 - HKLM\System\CS3\Services\Tcpip\..\{021CF68F-D126-498D-AA8D-E39F4D0E7EC1}: NameServer = 80.118.192.111
O17 - HKLM\System\CS4\Services\Tcpip\..\{021CF68F-D126-498D-AA8D-E39F4D0E7EC1}: NameServer = 80.118.192.111
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs:
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: CDRecorder036 - {A3BC5E20-0235-1ABF-9CE1-00AA00512036} - C:\WINDOWS\system32\zlcrd32.dll
O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\system32\unzbq.dll
O21 - SSODL: HfIXeuNw - {B087505B-1A2D-FAF1-E5F2-A0A6A1D9AAFF} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Sptisrv.exe

Hola, lamento la demora pero los problemas en el servidor del foro me tienen muy ocupado.

Tu log esta muy infectado, pero como ya pasaron unos días este puedo haber cambiado o tal vez ya pudiste solucionar algo.

Déjanos un nuevo reporte en este mismo mensaje con un breve comentario de como funciona el sistema.

Salu2

Hola.

Revise varias veces mi compu con spybot y ewido, si pude eliminar todo lo que me marcaron estos dos antivirus. He recorrido varias veces mi compu con panda y he eliminado muchos espywares y claves del registro de windows defectuosas. Al parecer mi compu esta casi limpia, pero aún tengo problemas con un pop-up de internet explorer que abre una página titulada drive cleaner y no he podido eliminar un archivo llamado maindll.dll, siempre lo borró y cuando reinicio mi compu vuelve a aparecer. no me he podido deshacer de el, no aun cuando borre sus claves del registro (según yo).

Aún no puedo iniciar el firewall de windows y tampoco puedo ejecutar msconfig.exe desde la ventana de ejecutar que se encuentra en el menú inicio. Esto se puede reparar?

Aqui estan mis logs:

Panda


Incidencia Estado Elemento

Virus:Bck/Hupigon.AWG Desinfectado Sistema Operativo

Adware:adware/spywarestrike No desinfectado Registro de Windows

Virus:Bck/Hupigon.AWG Desinfectado C:\Documents and Settings\Propietario\Configuración local\Temp\maindll.dll


Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 03:25:11 p.m., on 17/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Archivos de programa\Prevx1\PXAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Prevx1\PXConsole.exe
C:\Archivos de programa\CCleaner\ccleaner.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\$NtUninstallKB8593188$\kavss.exe
C:\WINDOWS\System32\ssmypics.scr
C:\Documents and Settings\Propietario\Escritorio\VIRUS\exes\HijackT his.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://google.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {366B2151-E1C7-44a3-86A3-E5686C2A3D2F} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Datos de programa\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: El kit de herramientas de hp - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\HP\EXPLOREBAR\HPTOOLKT.DLL
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKLM\..\Run: [PrevxOne] "C:\Archivos de programa\Prevx1\PXConsole.exe"
O4 - Startup: ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Archivos de programa\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O10 - Broken Internet access because of LSP provider 'abcdefgh.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{021CF68F-D126-498D-AA8D-E39F4D0E7EC1}: NameServer = 80.118.192.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF67AAAC-166A-45E8-8A45-8054CFA11516}: NameServer = 200.33.146.193,200.33.146.201
O17 - HKLM\System\CS3\Services\Tcpip\..\{021CF68F-D126-498D-AA8D-E39F4D0E7EC1}: NameServer = 80.118.192.111
O17 - HKLM\System\CS4\Services\Tcpip\..\{021CF68F-D126-498D-AA8D-E39F4D0E7EC1}: NameServer = 80.118.192.111
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs:
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: CDRecorder036 - {A3BC5E20-0235-1ABF-9CE1-00AA00512036} - (no file)
O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\system32\unzbq.dll
O21 - SSODL: HfIXeuNw - {B087505B-1A2D-FAF1-E5F2-A0A6A1D9AAFF} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Archivos de programa\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\Sptisrv.exe

Hola shalala,

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga estas herramientas pero no las ejecutes aun:

• SDFix.exe
• DelPSGuard 4.4.8
• SUPERAntiSpyware

Paso 3- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:


O2 - BHO: (no name) - {366B2151-E1C7-44a3-86A3-E5686C2A3D2F} - (no file)

O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe

O4 - Startup: ctfmon.exe

O20 - AppInit_DLLs:

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll

O21 - SSODL: CDRecorder036 - {A3BC5E20-0235-1ABF-9CE1-00AA00512036} - (no file)

O21 - SSODL: DCOM Server 60787 - {2C1CD3D7-86AC-4068-93BC-A02304B60787} - C:\WINDOWS\system32\unzbq.dll

O21 - SSODL: HfIXeuNw - {B087505B-1A2D-FAF1-E5F2-A0A6A1D9AAFF} - (no file)


Paso 4- Sin reiniciar con el programa "FileASSASSIN" elimina estos archivos:


C:\WINDOWS\system32\maindll.dll
C:\WINDOWS\system32\a3dxq.dll
C:\WINDOWS\system32\unzbq.dll
C:\Documents and Settings\Propietario\Configuración local\Temp\maindll.dll



Paso 5- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 6- Ejecuta estas herramientas, de a una:

• DelPSGuard.exe <- Guarda su reporte.
• SDFix.exe
• SUPERAntiSpyware

Paso 7- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia y nos contas los resultados.

Salu2