Hola a todos

Bueno ahora si puse el log del hoijackthis v1.99.1, bueno el problema son las ventanas emergentes, de una pagina de antivirus...con el zone alarm he logrado que ya no salgan mucho, pero hoy dia ademas de las ventanas emergente ....tengo problemas cuando quiero maximizar las ventanas de internet explorer....ojala alguien me pueda ayudar aca dejo mi log..gracias

Logfile of HijackThis v1.99.1
Scan saved at 10:25:37 p.m., on 01/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Archivos de Programa\ZoneAlarm\zlclient.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
D:\ARCHIV~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Winamp\winamp.exe
D:\Archivos de Programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.portaldeayuda.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0a4bb129-fb92-4d03-8099-68968672e3cd} - C:\WINDOWS\system32\amcsrv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\tmp1.tmp.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\archivos de programa\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe
O4 - HKLM\..\Run: [NTdhcp] C:\WINDOWS\system32\NTdhcp.exe
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\Archivos de Programa\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\Monitor.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs:
O20 - Winlogon Notify: amcsrv - C:\WINDOWS\SYSTEM32\amcsrv.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hola mirko_ll, te doy la bienvenida al Foro de InfoSpyware

Ya que tu log de HijackThis tiene unos días y puede que haya sufrido algunos cambios, seguí primero estos pasos y luego generas un nuevo log y lo pegas en este mismo mensaje.

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Realiza un escaneo online con "Panda ActiveScan Online" y nos dejas sus reportes en este mismo mensaje.

Descarga, actualiza y ejecuta

• SuperAntiSpyware

• Descarga la herramienta ComboFix.exe y guárdala en el escritorio de Win.
• Hace doble-click en el archivo combofix.exe y seguí los avisos.
• Cuando termine este generara un reporte que tendrías que pegar en este mismo mensaje.
  • Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

Reinicia y nos contas los resultados.

Salu2

Hola ElPiedra:

En Principio..Muchas Gracias..por tu ayuda....

Bueno segui los pasos que me dijiste, mientras usaba el CCleaner me salio un mensaje del Zone Alam, que me detecto dos virus..pero decia que los elimino automaticamente...

2 auto Treatments:

Win 32/SillyDI.CPH Treated


Luego tuve unos problemas pa correr el Panda antivirus online ..pero al final..si pude y el reporte es este:

Incidencia Estado Elemento

Virus:Trj/Rizalof.TT Desinfectado Sistema Operativo
Adware:Adware/WebSearch No desinfectado C:\DOCUME~1\Pc\CONFIG~1\Temp\tmp1.tmp.dll
Adware:adware/cws.yexe No desinfectado c:\messanger.ini
Virus:Trj/Rizalof.TT Desinfectado C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
Virus:Trj/Rizalof.TT Desinfectado C:\Archivos de programa\Winamp\winampa.exe
Adware:Adware/WebSearch No desinfectado C:\Documents and Settings\Pc\Configuración local\Temp\tmp1.tmp.dll
Virus:Trj/Agent.FCA Desinfectado C:\Documents and Settings\Pc\Configuración local\Temp\tmp1.tmp.exe
Spyware:Cookie/ErrorSafe No desinfectado C:\Documents and Settings\Pc\Cookies\pc@errorsafe[2].txt
Spyware:Cookie/Winantivirus No desinfectado C:\Documents and Settings\Pc\Cookies\pc@es.winantivirus[1].txt
Spyware:Cookie/Mediaplex No desinfectado C:\Documents and Settings\Pc\Cookies\pc@mediaplex[1].txt
Spyware:Cookie/Winantivirus No desinfectado C:\Documents and Settings\Pc\Cookies\pc@winantivirus[1].txt
Spyware:Cookie/ademails No desinfectado C:\Documents and Settings\Pc\Cookies\pc@www.ademails[1].txt
Spyware:Cookie/myaffiliateprogram No desinfectado C:\Documents and Settings\Pc\Cookies\pc@www.myaffiliateprogram[1].txt
Adware:Adware/WebSearch No desinfectado C:\WINDOWS\system32\tmp1.tmp.dll
Luego el SuperAntiSpyware me detecto como 16 variantes de Vundo..y 4 cookies adawares y no se que mas..porque el programa tuvo que resetearse pa que funciones y no pude ver bien los resultados...

Luego el Combo fix....que aca esta su reporte....

Pc" - 07-05-04 0:15:00 Service Pack 2
ComboFix 07-04-25.4V - Running from: "C:\Documents and Settings\Pc\Escritorio\"


((((((((((((((((((((((((((((((( Files Created from 2007-04-04 to 2007-05-04 ))))))))))))))))))))))))))))))))))


2007-05-03 23:34 <DIR> d-------- C:\DOCUME~1\Pc\DATOSD~1\SUPERAntiSpyware.com
2007-05-03 23:34 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\SUPERAntiSpyware.com
2007-05-03 23:33 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-05-03 22:38 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-05-03 22:21 786,432 --a------ C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-05-03 22:21 <DIR> dr-h----- C:\DOCUME~1\ADMINI~1\Datos de programa
2007-05-03 22:21 <DIR> dr------- C:\DOCUME~1\ADMINI~1\Men£ Inicio
2007-05-03 22:21 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Reciente
2007-05-03 22:21 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Plantillas
2007-05-03 22:21 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Impresoras
2007-05-03 22:21 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Entorno de red
2007-05-03 22:21 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Configuraci¢n local
2007-05-03 22:21 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Mis documentos
2007-05-03 22:21 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Favoritos
2007-05-03 22:21 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Escritorio
2007-05-03 21:43 106,768 --a------ C:\WINDOWS\tuvwxy.dll
2007-05-03 20:47 <DIR> d--hs---- C:\WINDOWS\CSC
2007-04-28 10:28 22,110 --a------ C:\WINDOWS\system32\amcsrv.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )))


2007-05-03 23:10 -------- d-------- C:\Archivos de programa\winamp
2007-05-03 23:10 -------- d-------- C:\Archivos de programa\msn messenger
2007-03-10 16:48 -------- d--h----- C:\Archivos de programa\installshield installation information
2007-02-21 19:08 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-02-05 11:48 1021504 --a------ C:\WINDOWS\system32\vete.dll
2007-02-05 11:19 50 --a------ C:\AUTOEXEC.BAT


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
{0a4bb129-fb92-4d03-8099-68968672e3cd} C:\WINDOWS\system32\amcsrv.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"SoundMan"="SOUNDMAN.EXE"
"OM_Monitor"="D:\\Archivos de Programa\\OLYMPUS Master\\FirstStart.exe"
"Zone Labs Client"="D:\\Archivos de Programa\\ZoneAlarm\\zlclient.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run]
"MsnMsgr"="\"C:\\Archivos de programa\\MSN Messenger\\MsnMsgr.Exe\" /background"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NVMCTRAY.DLL,NvTaskbarInit"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.ex e"
"NVIEW"="rundll32.exe nview.dll,nViewLoadHook"
"OM_Monitor"="D:\\Archivos de Programa\\OLYMPUS Master\\Monitor.exe"
"SUPERAntiSpyware"="D:\\Archivos de Programa\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runonce]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runonce\Setup]
"Registrando Panda ActiveX"="C:\\WINDOWS\\system32\\regsvr32.exe /s C:\\WINDOWS\\system32\\ActiveScan\\as.dll"
"Registrando Panda Almacen"="C:\\WINDOWS\\system32\\regsvr32.exe /s C:\\WINDOWS\\system32\\ActiveScan\\pavpz.dll"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\amcsrv

HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Actualización de PER Antivirus.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menú Inicio\\Programas\\Inicio\\Actualización de PER Antivirus.lnk"
"backup"="C:\\WINDOWS\\pss\\Actualización de PER Antivirus.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\ARCHIV~1\\PERSYS~1\\Perav\\PERUPD.E XE /AUTO"
"item"="Actualización de PER Antivirus"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^MSN Messenger 7.1 PoWer Plus.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menú Inicio\\Programas\\Inicio\\MSN Messenger 7.1 PoWer Plus.lnk"
"backup"="C:\\WINDOWS\\pss\\MSN Messenger 7.1 PoWer Plus.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\ARCHIV~1\\MSNMES~1\\msnmsgr.exe "
"item"="MSN Messenger 7.1 PoWer Plus"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^WinZip Quick Pick.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menú Inicio\\Programas\\Inicio\\WinZip Quick Pick.lnk"
"backup"="C:\\WINDOWS\\pss\\WinZip Quick Pick.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\ARCHIV~1\\WinZip\\WZQKPICK.EXE "
"item"="WinZip Quick Pick"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"C:\\Archivos de programa\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.ex e"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="\"C:\\Archivos de programa\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnph ost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


************************************************** ******************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-04 00:17:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


************************************************** ******************

Completion time: 07-05-04 0:17:23
C:\ComboFix-quarantined-files.txt ... 07-05-04 00:17


Finalmente, luego de todo lo anterior......el reporte del Hijackthis...


Logfile of HijackThis v1.99.1
Scan saved at 12:37:41 a.m., on 04/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\Archivos de Programa\ZoneAlarm\zlclient.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
D:\ARCHIV~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Archivos de Programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.portaldeayuda.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0a4bb129-fb92-4d03-8099-68968672e3cd} - C:\WINDOWS\system32\amcsrv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\Archivos de Programa\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs:
O20 - Winlogon Notify: !SASWinLogon - D:\Archivos de Programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: amcsrv - C:\WINDOWS\SYSTEM32\amcsrv.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bueno El Piedra...De nuevo ..Mil Gracias!!1.... Luego de seguir todos los pasos...he estado navegando y siguen apareciendo las ventanas.. ..claro que con menor frecuencia y menos molestas que antes....a ver si ppuedes chequear mi nuevo log de HJT.....

Saludos

Saludos

Hola , te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga estas herramientas pero no las ejecutes aun:

• VundoFix.exe
• DelPSGuard 4.5.0
• SUPERAntiSpyware

Paso 3- Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:


O2 - BHO: (no name) - {0a4bb129-fb92-4d03-8099-68968672e3cd} - C:\WINDOWS\system32\amcsrv.dll

O20 - AppInit_DLLs:

O20 - Winlogon Notify: amcsrv - C:\WINDOWS\SYSTEM32\amcsrv.dll


Paso 4- Sin reiniciar con el programa "FileASSASSIN" copia y pegar este archivo con sus rutas para ser eliminado:


C:\WINDOWS\SYSTEM32\amcsrv.dll



Paso 5- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 6- Ejecuta estas herramientas, de a una:

• DelPSGuard.exe <- Guarda su reporte.
• VundoFix.exe
• SUPERAntiSpyware

Paso 7- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Paso 8- Reinicia y hacele un escaneo online con "Panda ActiveScan Online"

Reinicia y nos contas los resultados.

Salu2

Hola

Bueno hice todo lo indicado, al principio el FileASSASIN me decia que no se puede elimianr el archivo, pero despues lo probe con la opcion "eliminar al iniciar windows" y alli parece que le fue mejor..los demas pasos los segui..

El log del DelIpsGuar,no me boto nada...

DelPSGuard v 4.5.1
by www.ForoSpyware.com
Escaneo a las: 22:51:55.56, 06/05/2007
SO: Microsoft Windows XP [Versi¢n 5.1.2600]


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»


»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»


»»»»»»»»»»»» FIN »»»»»»»»»»»»



El Vundo fix tampoco detecto nada...


Seguí con los pasos 6,7 y 8

Y el reporte del Panda Actve Scan....que me boto esto...que creo que yano hay amenazas???? o si???::pensar::

Incidencia Estado Elemento

Adware:adware/cws.yexe No desinfectado c:\messanger.ini
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado C:\Documents and Settings\Pc\Escritorio\ComboFix.exe[ComboFixT\nircmd.cfexe]
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\Pc\Escritorio\VirtumundoBeGone.exe
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado C:\WINDOWS\nircmd.exe
Finalmete mi reporte de HJT, en el que al parecer las entradas 02 y 020estan arregladas..

Logfile of HijackThis v1.99.1
Scan saved at 11:49:02 p.m., on 06/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Archivos de Programa\ZoneAlarm\zlclient.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
D:\ARCHIV~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
D:\Archivos de Programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0a4bb129-fb92-4d03-8099-68968672e3cd} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\Archivos de Programa\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: !SASWinLogon - D:\Archivos de Programa\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: amcsrv - amcsrv.dll (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Bueno luego de estos pasos, hasta el momento no han aparecido de nuevo las ventanas...espero que ahora si ya mi PC este limpia....

Saludos

Hola, tendrias que darle FIX a estas entradas para ya terminar:

O2 - BHO: (no name) - {0a4bb129-fb92-4d03-8099-68968672e3cd} - (no file)

O20 - Winlogon Notify: amcsrv - amcsrv.dll (file missing)

y lugo borra este archivo:

c:\messanger.ini

y confirmanos que todo este bien para dar por solucionado el tema.

Salu2

Hola

Ya hice lo que faltaba y todo ya esta bien, las ventanas molestas ya no han vuelto a aparecer...ya todo esta bien!!...

Asi que creo que podemos dar el tema como solucionado

Saludos y de Nuevo Gracias!!1