Log (Ayuda contra searc-h.com)

Estado
Cerrado para nuevas respuestas.

sohun

Nuevo Miembro
Miembro
Hola,

Espero que alguien pudiera ayudarme con este problema con Ad-wares. Los pop-ups no se detienen. He utilizado: Norton, Panda, CWSchredder, el Anti-spyware o lo que sea de MicroSoft y nada me ha dado resultado...a pesar que supuestamente han eliminado malwares, siguen apareciendo.

Las ventanas que me aparecen en su mayoría son: searc-h.com, mega-cheap, ad.yielmanager, otras que son anuncios animados, etc...

Gracias de antemano.

Aquí está mi log de hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 09:14:57 p.m., on 22/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\NavNT\vptray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE

C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\windows\sp2update00.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\QWRtaW5pc3RyYWRvcgAA\command.exe

C:\Archivos de programa\NavNT\defwatch.exe

C:\Archivos de programa\NavNT\rtvscan.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\MsgSys.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

F:\Software\Instaladores\hijackthis_sfx\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [vptray] C:\Archivos de programa\NavNT\vptray.exe

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Epson Control Print] C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe

O4 - HKLM\..\Run: [EPSON Stylus CX1500 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE /P26 "EPSON Stylus CX1500 Series" /O6 "USB001" /M "Stylus CX1500"

O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe

O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: Run - C:\WINDOWS\system32\o2660cjsefo60.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYWRvcgAA\command.exe

O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\NavNT\defwatch.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\NavNT\rtvscan.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe
 

Caito

Ex- Mod
Miembro
Lo que tienes no es fácil de eliminar, pero trataremos :rolleyes:

Baja estos programas :

Baja este programa :

http://www.sysinternals.com/Files/ProcessExplorerNt.zip

Y este :

KillBox

El ewido:

Bajar ewido security suite:

Ewido Anti-Malware

Actualizarlo acá :

Ewido Anti-Malware

configurarlo así:

• Durante la instalación Abajo donde dice "Additional Options" Desmarca las casillas de "Install background guard" y "Install scan via context menu".

• Lanza o abre Ewido, Dandole doble click a una gran E que aparecera en tu escritorio

• El programa te preguntara algo sobre las actualizaciones. Click en OK. • El programa te mandara a la pantalla principal.

Tu vas a tener que actualizar las definiciones a la ultima version

• En el lado derecho de la pantalla principal da click en update

• Da click en Start

El proceso se va iniciar y seas informado mediante una barra de progreso.

Una vez las actualizaciones hayan sido instaladas haz lo siguiente:

• Reinicia en el modo seguro. Puedes hacer esto reiniciando tu PC, Y pulsando muchas veces la tela F8 hasta que un menu aparezca. Dirijete con la flecha hacia arriba para seleccionar el modo seguro. Dale enter. Cuando ya se inicie abre el ewido.

• Clickea en el scaner

• Antes de escanear verifica que las siguientes casillas de verificacion estén marcadas:

o Binder

o Crypter

o Archives

• Clickea en start scan

• Deja que el programa analize tu PC

Durante el progreso se te preguntara sobre desinfectar archivos clickea en OK. Una vez que el escaneo haya terminado, hay un boton localizado en la parte baja de la pantallla que dice save report

• Clickea en save report

• Guarda tu reporte en el escritorio

solo actualízalo todavía no lo ejecutes

Baja este programa :

[url dominio desaparecido"]

Guárdalo en tu escritorio.

Haz doble click en l2mfix.exe

Instálalo siguiendo las instrucciones y al aparecer este archivo : “ l2mfix “haz doble clic en : “l2mfix.bat” y elige la opción “#1” para correr “find log” poniendo 1

Y dándole Enter

Tardará unos minutos y luego se abrirá el Notepad y te dará un log que tendrás que copiar y pegar como respuesta a este post.

Es importante no darle a la opción “#2” o a otra a no ser que te lo diga en mi próximo post.

saludos

Caito
 

sohun

Nuevo Miembro
Miembro
Gracias Caito por tu ayuda, aquí está el log que me dio el l2mfix:

L2MFIX find log 1.04a

These are the registry keys present

**********************************************************************************

Winlogon/notify:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\

6c,00,00,00

"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

"DLLName"="cscdll.dll"

"Logon"="WinlogonLogonEvent"

"Logoff"="WinlogonLogoffEvent"

"ScreenSaver"="WinlogonScreenSaverEvent"

"Startup"="WinlogonStartupEvent"

"Shutdown"="WinlogonShutdownEvent"

"StartShell"="WinlogonStartShellEvent"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Dynamic Directory]

"Asynchronous"=dword:00000000

"DllName"="C:\\WINDOWS\\system32\\enj8l11u1.dll"

"Impersonate"=dword:00000000

"Logon"="WinLogon"

"Logoff"="WinLogoff"

"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]

@=""

"DLLName"="igfxsrvc.dll"

"Asynchronous"=dword:00000001

"Impersonate"=dword:00000001

"Unlock"="WinlogonUnlockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

"DLLName"="wlnotify.dll"

"Logon"="SCardStartCertProp"

"Logoff"="SCardStopCertProp"

"Lock"="SCardSuspendCertProp"

"Unlock"="SCardResumeCertProp"

"Enabled"=dword:00000001

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"StartShell"="SchedStartShell"

"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

"Logoff"="WLEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

"DLLName"="WlNotify.dll"

"Lock"="SensLockEvent"

"Logon"="SensLogonEvent"

"Logoff"="SensLogoffEvent"

"Safe"=dword:00000001

"MaxWait"=dword:00000258

"StartScreenSaver"="SensStartScreenSaverEvent"

"StopScreenSaver"="SensStopScreenSaverEvent"

"Startup"="SensStartupEvent"

"Shutdown"="SensShutdownEvent"

"StartShell"="SensStartShellEvent"

"PostShell"="SensPostShellEvent"

"Disconnect"="SensDisconnectEvent"

"Reconnect"="SensReconnectEvent"

"Unlock"="SensUnlockEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"Logoff"="TSEventLogoff"

"Logon"="TSEventLogon"

"PostShell"="TSEventPostShell"

"Shutdown"="TSEventShutdown"

"StartShell"="TSEventStartShell"

"Startup"="TSEventStartup"

"MaxWait"=dword:00000258

"Reconnect"="TSEventReconnect"

"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

"DLLName"="wlnotify.dll"

"Logon"="RegisterTicketExpiredNotificationEvent"

"Logoff"="UnregisterTicketExpiredNotificationEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above

Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de)

This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:

(NI) ALLOW Full access NT AUTHORITY\SYSTEM

(IO) ALLOW Full access NT AUTHORITY\SYSTEM

(NI) ALLOW Full access NT AUTHORITY\SYSTEM

(IO) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-NI) ALLOW Read BUILTIN\Usuarios

(ID-IO) ALLOW Read BUILTIN\Usuarios

(ID-NI) ALLOW Read BUILTIN\Usuarios avanzados

(ID-IO) ALLOW Read BUILTIN\Usuarios avanzados

(ID-NI) ALLOW Full access BUILTIN\Administradores

(ID-IO) ALLOW Full access BUILTIN\Administradores

(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-IO) ALLOW Full access CREATOR OWNER

**********************************************************************************

useragent:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

"{5B86A424-EF1F-2A26-5705-89F53E5D7110}"=""

**********************************************************************************

Shell Extension key:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

"{00022613-0000-0000-C000-000000000046}"="Hoja de propiedades de archivos multimedia"

"{176d6597-26d3-11d1-b350-080036a75b03}"="Administraci¢n de esc ner ICM"

"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="P gina de seguridad NTFS"

"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="P gina de propiedades del archivo de documentos OLE"

"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensiones de interfaz para uso compartido"

"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"

"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extensi¢n CPL del adaptador de pantalla"

"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extensi¢n CPL del monitor de pantalla"

"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extensi¢n de paneo de pantalla del Panel de control"

"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="P gina de seguridad DS"

"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="P gina de compatibilidad"

"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell Scrap DataHandler"

"{59099400-57FF-11CE-BD94-0020AF85B590}"="Extensi¢n de copia de discos"

"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensiones del shell para objetos de la red de Microsoft Windows"

"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Administraci¢n de monitor ICM"

"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Administraci¢n de impresora ICM"

"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensiones del shell para compresi¢n de archivos"

"{77597368-7b15-11d0-a0c2-080036af3f03}"="Extensi¢n del shell de impresora en Web"

"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"

"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Men£ de contexto de cifrado"

"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Malet¡n"

"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extensi¢n de icono de HyperTerminal"

"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fuentes"

"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Perfil de ICC"

"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="P gina de seguridad de impresoras"

"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensiones de interfaz para uso compartido"

"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"

"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extensi¢n PKO cifrada"

"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extensi¢n de firma cifrada"

"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Conexiones de red"

"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Conexiones de red"

"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&C maras y esc neres"

"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&C maras y esc neres"

"{905667aa-acd6-11d2-8080-00805f6596d2}"="&C maras y esc neres"

"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&C maras y esc neres"

"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&C maras y esc neres"

"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"

"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensiones del shell para Windows Script Host"

"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="V¡nculos a datos de Microsoft"

"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"

"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"

"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tareas programadas"

"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"

"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"

"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barra de tareas y men£ Inicio"

"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Buscar"

"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Ayuda y soporte t‚cnico"

"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Ayuda y soporte t‚cnico"

"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ejecutar..."

"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"

"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Correo electr¢nico"

"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Fuentes"

"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Herramientas administrativas"

"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"

"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"

"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"

"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"

"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"

"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"

"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"

"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"

"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barra de herramientas de Microsoft Internet"

"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Estado de la descarga"

"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Carpeta Shell aumentada"

"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Carpeta 2 Shell aumentada"

"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"

"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Banda del explorador de Microsoft"

"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Banda de b£squeda"

"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="B£squeda en panel"

"{07798131-AF23-11d1-9111-00A0C98BA67D}"="B£squeda Web"

"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilidad de opciones del  rbol de Registro"

"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Direcci¢n"

"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Cuadro de la direcci¢n"

"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Autocompletar de Microsoft"

"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"

"{6756A641-DE71-11d0-831B-00AA005B4383}"="Lista autocompleta MRU"

"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Lista autocompleta MRU personalizada"

"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"

"{acf35015-526e-4230-9596-becbe19f0ac9}"="Barra de progreso emergente"

"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Lista autocompleta de la historia de Microsoft"

"{03C036F1-A186-11D0-824A-00AA005B4383}"="Lista autocompleta de la carpeta Shell de Microsoft"

"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Contenedor de la Lista m£ltiple de Microsoft"

"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Men£ de sitio de bandas Shell"

"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"

"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barra de escritorio Shell"

"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"

"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Asistencia al usuario"

"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Configuraci¢n de carpeta global"

"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"

"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"

"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"

"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"

"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"

"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Servicio de Historial de las direcciones URL de Microsoft"

"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historial"

"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Archivos temporales de Internet"

"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Archivos temporales de Internet"

"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Hook de b£squeda de direcciones URL de Microsoft"

"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Pantalla de bienvenida de IE4 Suite"

"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"

"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"

"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"

"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"

"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"

"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Banda de Explorador"

"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"

"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"

"{88C6C381-2E85-11D0-94DE-444553540000}"="Carpeta del cach‚ de ActiveX"

"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"

"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"

"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Carpeta de suscripciones"

"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"

"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"

"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"

"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"

"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"

"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"

"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"

"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Administrador de aplicaciones de Shell"

"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Enumerador de aplicaciones instaladas"

"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"

"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"

"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"

"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"

"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extractor de vistas en miniatura de archivos GDI+"

"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Controlador de la informaci¢n de resumen para vistas en miniatura (DOCFILES)"

"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extractor de vistas en miniatura HTML"

"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"

"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Asistente para la publicaci¢n en Web"

"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Pedido de impresiones v¡a web"

"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objeto de Asistente de publicaci¢n de shell"

"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Asistente para obtener pasaporte"

"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Cuentas de usuario"

"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"

"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"

"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Archivo de canal"

"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Acceso directo al canal"

"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Objeto de control de canal"

"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"

"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"

"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"

"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"

"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"

"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"

"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"

"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"

"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"

"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"

"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"

"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"

"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"

"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"

"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"

"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"

"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"

"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"

"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"

"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"

"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"

"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Carpeta de archivos sin conexi¢n"

"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"

"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"

"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"

"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"

"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"

"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Personas..."

"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"

"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"

"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"

"{BDA77241-42F6-11d0-85E2-00AA001FE28C}"="LDVP Shell Extensions"

"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"

"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Carpetas Web"

"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"

"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"

"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"

"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"

"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"

"{EAB21351-DF12-450F-9B0C-1C0B2509058D}"=""

**********************************************************************************

HKEY ROOT CLASSIDS:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{EAB21351-DF12-450F-9B0C-1C0B2509058D}]

@=""

[HKEY_CLASSES_ROOT\CLSID\{EAB21351-DF12-450F-9B0C-1C0B2509058D}\Implemented Categories]

@=""

[HKEY_CLASSES_ROOT\CLSID\{EAB21351-DF12-450F-9B0C-1C0B2509058D}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]

@=""

[HKEY_CLASSES_ROOT\CLSID\{EAB21351-DF12-450F-9B0C-1C0B2509058D}\InprocServer32]

@="C:\\WINDOWS\\system32\\bnackbox.dll"

"ThreadingModel"="Apartment"

**********************************************************************************

Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\

atmtd.dll Fri 21 Oct 2005 12:47:56p A.... 687,592 671.48 K

bnackbox.dll Sun 23 Oct 2005 1:03:20p ..S.R 234,825 229.32 K

enj8l1~1.dll Sun 23 Oct 2005 12:24:18p ..S.R 234,825 229.32 K

gwfspi~1.dll Wed 3 Aug 2005 10:33:38a A.... 23,304 22.76 K

legitc~1.dll Mon 29 Aug 2005 1:27:12p A.... 520,968 508.76 K

manipu~1.dll Wed 3 Aug 2005 2:54:10p A.... 253,952 248.00 K

o0pqla~1.dll Sun 23 Oct 2005 1:03:20p ..S.R 236,395 230.85 K

pncrt.dll Fri 30 Sep 2005 1:09:20p A.... 278,528 272.00 K

pndx5016.dll Fri 30 Sep 2005 1:09:24p A.... 6,656 6.50 K

pndx5032.dll Fri 30 Sep 2005 1:09:24p A.... 5,632 5.50 K

px.dll Wed 10 Aug 2005 4:49:06p ..... 356,352 348.00 K

pxdrv.dll Wed 10 Aug 2005 4:49:08p ..... 380,928 372.00 K

pxmas.dll Wed 10 Aug 2005 4:49:08p ..... 159,744 156.00 K

pxwave.dll Wed 10 Aug 2005 4:49:08p ..... 339,968 332.00 K

pxwma.dll Wed 10 Aug 2005 4:49:08p ..... 10,752 10.50 K

rmoc3260.dll Fri 30 Sep 2005 1:09:52p A.... 176,167 172.04 K

vxblock.dll Wed 10 Aug 2005 4:49:08p ..... 28,672 28.00 K

17 items found: 17 files (3 H/S), 0 directories.

Total of file sizes: 3,935,260 bytes 3.75 M

Locate .tmp files:

No matches found.

**********************************************************************************

Directory Listing of system files:

El volumen de la unidad C no tiene etiqueta.

El n£mero de serie del volumen es: 9C26-1CA6

Directorio de C:\WINDOWS\System32

23/10/2005 01:03 p.m. 234,825 bnackbox.dll

23/10/2005 01:03 p.m. 236,395 o0pqla751d.dll

23/10/2005 12:24 p.m. 234,825 enj8l11u1.dll

20/08/2005 11:10 a.m. <DIR> dllcache

08/08/2005 04:36 p.m. <DIR> Microsoft

3 archivos 706,045 bytes

2 dirs 12,602,621,952 bytes libres
 

Caito

Ex- Mod
Miembro
Ahora vuelve a ejecutar el l2mfix y haz doble click en l2mfix.bat y selecciona la opción “#2” para que corra el Fix tecleando “2” y Enter, luego pulsa cualquier letra para reiniciar la pc. Al reiniciar los íconos del escritorio aparecerán y desaparecerán lo que es normal y luego el notepad aparecerá con el log que tendrás que copiar y pegar como respuesta a este post.

Además pon un log actualizado del hijack.

Es importante no ejecutar ninguna opción del programa a menos que te lo diga.

Luego del reinicio ejecuta el ewido y también pon el log

Saludos

Caito
 

sohun

Nuevo Miembro
Miembro
Hola Caitos,

Realicé lo que me dijiste, de la opción 2 del l2mfix, reinició la pc y demás, pero no me abrió ningún log de notepad al reiniciar ¿por qué sería?, debo hacer de nuevo ese fix?... de cualquier forma actualicé los logs de ewido y de hijackthis, en ese orden lo realicé:

Ewido:

---------------------------------------------------------

ewido security suite - Report de exploración

---------------------------------------------------------

+ Creado en: 04:27:34 p.m., 23/10/2005

+ Report-Checksum: 178A9E65

+ Scan result:

[1572] C:\WINDOWS\system32\guard.tmp -> Spyware.Look2Me : Error durante limpieza

[1672] C:\WINDOWS\system32\odethk32.dll -> Spyware.Look2Me : Limpio con backup

C:\Documents and Settings\Administrador\Configuración local\Temp\Cookies\administrador@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Limpio con backup

C:\Documents and Settings\Administrador\Configuración local\Temp\Cookies\administrador@web2.realtracker[2].txt -> Spyware.Cookie.Realtracker : Limpio con backup

C:\WINDOWS\system32\o0pqla751d.dll -> Spyware.Look2Me : Limpio con backup

C:\WINDOWS\system32\odethk32.dll -> Spyware.Look2Me : Limpio con backup

C:\WINDOWS\Temp\Cookies\administrador@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Limpio con backup

F:\System Volume Information\_restore{F8D933BC-11F4-47D3-8FBB-5A1D11F03015}\RP81\A0033641.exe -> TrojanDownloader.IstBar.lu : Limpio con backup

F:\System Volume Information\_restore{F8D933BC-11F4-47D3-8FBB-5A1D11F03015}\RP81\A0033642.exe -> TrojanDownloader.VB.qr : Limpio con backup

F:\System Volume Information\_restore{F8D933BC-11F4-47D3-8FBB-5A1D11F03015}\RP81\A0033643.exe -> Dialer.Generic : Limpio con backup

F:\System Volume Information\_restore{F8D933BC-11F4-47D3-8FBB-5A1D11F03015}\RP81\A0033644.EXE -> Not-A-Virus.Joke.Train : Limpio con backup

::Fin Report

HijackThis Log

Logfile of HijackThis v1.99.1

Scan saved at 04:28:38 p.m., on 23/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\NavNT\vptray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE

C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\NavNT\defwatch.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\NavNT\rtvscan.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\MsgSys.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

F:\Software\Instaladores\hijackthis_sfx\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [vptray] C:\Archivos de programa\NavNT\vptray.exe

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Epson Control Print] C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe

O4 - HKLM\..\Run: [EPSON Stylus CX1500 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE /P26 "EPSON Stylus CX1500 Series" /O6 "USB001" /M "Stylus CX1500"

O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O8 - Extra context menu item: Sothink SWF Catcher - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYWRvcgAA\command.exe (file missing)

O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\NavNT\defwatch.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\NavNT\rtvscan.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe
 

Caito

Ex- Mod
Miembro
Lanza el KillBox:

Ahora doble click en Killbox.exe

Selecciona la opción "Delete on reboot" (Eliminar al reiniciar) y 'Unregister DLL before deleting' ( desregistrar dll antes de eliminar )

En el recuadro etiquetado como "Full path of file to delete" (Ruta completa del archivo a eliminar), escribe:

C:\WINDOWS\system32\guard.tmp

y pulsa el botón que parece un circulo rojo con una X blanca en él. Cuando te pregunte si deseas reiniciar ahora ("Reboot now"),

y te pregunte si deseas reiniciar ahora ("Reboot now"), dile que SÍ (YES).

Se reiniciará la pc.

Luego ejecuta el Ewido, pon el reporte + un nuevo log del hijack y comenta si te siguen los popups

Saludos

Caito
 

sohun

Nuevo Miembro
Miembro
Hola de nuevo Caito,

En serio agradezco la ayuda que me estás dando. Pues bien, ejecuté el killbox, sin embargo, la opción de 'unregister dll before deleting' aparecía inaccesible para ser seleccionada. Como sea hice el proceso del kill box, anotando el path y dando en la cruz. Me apareció este mensaje:

'Pending File Rename Operations Registry Data has been Removed by External Process!'

Reinicié manualmente la PC y al iniciar de nuevo, ejecuté el Ewido y el HijackThis.

Pude notar que cuando se ejecutó el Ewido, encontró ese archivo C:\WINDOWS\system32\guard.tmp

Si ves en el log, marca error durante la limpieza de ese archivo. Los pop-ups han disminuido considerablemente, pero siguen apareciendo.

Te pongo los logs:

Ewido:---------------------------------------------------------

ewido security suite - Report de exploración

---------------------------------------------------------

+ Creado en: 09:44:43 a.m., 24/10/2005

+ Report-Checksum: 8801C1C3

+ Scan result:

[1504] C:\WINDOWS\system32\guard.tmp -> Spyware.Look2Me : Error durante limpieza

[1660] C:\WINDOWS\system32\NNTWMVFile.dll -> Spyware.Look2Me : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Limpio con backup

C:\WINDOWS\system32\NNTWMVFile.dll -> Spyware.Look2Me : Limpio con backup

::Fin Report

HijackThis log:

Logfile of HijackThis v1.99.1

Scan saved at 09:54:43 a.m., on 24/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\NavNT\vptray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE

C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\NavNT\defwatch.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\NavNT\rtvscan.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\MsgSys.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

F:\Software\Instaladores\hijackthis_sfx\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [vptray] C:\Archivos de programa\NavNT\vptray.exe

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Epson Control Print] C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe

O4 - HKLM\..\Run: [EPSON Stylus CX1500 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE /P26 "EPSON Stylus CX1500 Series" /O6 "USB001" /M "Stylus CX1500"

O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O8 - Extra context menu item: Sothink SWF Catcher - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYWRvcgAA\command.exe (file missing)

O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\NavNT\defwatch.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\NavNT\rtvscan.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe
 

Caito

Ex- Mod
Miembro
Cierra todas las aplicaciones

Lanza el Hijack

Busca “Open the Misc Tools Section"

Selecciona "Open process manager"

Busca los siguientes procesos:

command.exe

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R3 - Default URLSearchHook is missing

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYWRvcgAA\command.exe (file missing)

Cierra el Hijack.

Busca estos archivos y los eliminas: (pueden no estar )

C:\WINDOWS\QWRtaW5pc3RyYWRvcgAA\command.exe

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se 1.06 actualizado al 19/10/05

Ejecuta el ewido

Pon el log del ewido y el log del hijack, comenta cómo anda

Saludos

Caito

Pd: si sigues teniendo problemas vuelve a ejecutar el l2mfix y le das a la opción 2

y me pones el log que te arroje
 

sohun

Nuevo Miembro
Miembro
Hola nuevamente Caitos,

Realicé los procesos que me dijiste, te comento las observaciones:

Con el HiJackThis, en el Open Process Manager, no me apareció activo el proceso de command.exe, por lo que continué reparando las otras opciones...

El AdAware encontró algúnos archivos dañinos y los borró, aunque la mayoría era de Coolsearch.... después borré los temps, cookies y demás. Por cierto no encontré el archivo command.exe en la carpeta de C:\WINDOWS\QWRtaW5pc3RyYWRvcgAA\ como me dijiste podía no estar, había otros dos.

Ewido encontró 4 archivos y los eliminó, nuevamente dejando el Guard.tmp, parece ser que es muy resistente... :(

Después de Ewido ejecuté un log de HiJackThis y reinicié la PC, dejé un ratito y volvió a aparecer una molesta ventana.

Ejecuté la opción 2 de l2mfix, reinició la computadora, sin embargo, sigue sin arrojarme el log. Los pop-up aunque menos, siguen apareciendo. Te pongo mis logs:

Ewido

---------------------------------------------------------

ewido security suite - Report de exploración

---------------------------------------------------------

+ Creado en: 01:32:53 p.m., 24/10/2005

+ Report-Checksum: CD492665

+ Scan result:

[1540] C:\WINDOWS\system32\guard.tmp -> Spyware.Look2Me : Error durante limpieza

[1660] C:\WINDOWS\system32\uhrlbva.dll -> Spyware.Look2Me : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Limpio con backup

C:\WINDOWS\system32\uhrlbva.dll -> Spyware.Look2Me : Limpio con backup

::Fin Report



Log de HiJackThis


Logfile of HijackThis v1.99.1

Scan saved at 01:52:55 p.m., on 24/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\NavNT\vptray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE

C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\NavNT\defwatch.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\NavNT\rtvscan.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\MsgSys.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

F:\Software\Instaladores\hijackthis_sfx\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [vptray] C:\Archivos de programa\NavNT\vptray.exe

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Epson Control Print] C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe

O4 - HKLM\..\Run: [EPSON Stylus CX1500 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE /P26 "EPSON Stylus CX1500 Series" /O6 "USB001" /M "Stylus CX1500"

O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O8 - Extra context menu item: Sothink SWF Catcher - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYWRvcgAA\command.exe (file missing)

O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\NavNT\defwatch.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\NavNT\rtvscan.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe
 

Caito

Ex- Mod
Miembro
ve a Inicio >> Ejecutar >> msconfig >> pestaña Servicios >> selecciona la casilla Ocultar todos los servicios de Microsoft >> y luego desmarca la casilla de la entrada O23 - Service:Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYWRvcgAA\command.exe

Lanza el hijack:

scan y luego fix a esta:

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYWRvcgAA\command.exe (file missing)

Fijáte si tienes deshabilitado el Mensajero de windows:

1. Haga click en Inicio, Panel de control (o Rendimiento y mantenimiento, según el tipo de Vista)

2. Seleccione las Herramientas administrativas

3. Haga doble click sobre Servicios

4. Busque y seleccione "Messenger" o "Mensajero"

5. Haga click derecho, elegí Propiedades

6. Haga click el botón de "Detener"

7. Seleccione "Deshabilitarlo" o "Dejarlo manual"

8. Acepte los cambios

Haz un scan on line:

Antivirus on line:

http://housecall.trendmicro.com/

http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

http://www.avast.com/eng/down_cleaner.html

http://www.kaspersky.com/beta?product=161744315

http://www.bitdefender.com/scan8/

http://www.ravantivirus.com/scan/

http://www.windowsecurity.com/trojanscan/

Trata de borrar el guard.temp con el killBox , probaste en modo seguro ?

buscaste bien el log del l2mfix ?

Saludos

Caito
 

sohun

Nuevo Miembro
Miembro
Hola Caito, en serio agradezco tu ayuda.

Realicé los pasos que me dijiste:

a) Lo referente a O23 - Service:Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYWRvcgAA\command.exe no fue necesario, pues el archivo ya no existe.

B) El mensajero de Windows estaba inhabilitado y así lo dejé.

c) No pude borrar el guard.tmp desde safe mode con el killbox. Ese maldito archivo parece ser indestructible y es el problema de todo....

d) Tenías razón, encontré el log del l2mfix. Es el que dice Report?...

Realicé de nuevos los scans, aquí te pongo los logs, en el mismo orden en que ejecuté:

Ewido

---------------------------------------------------------

ewido security suite - Report de exploración

---------------------------------------------------------

+ Creado en: 10:35:04 a.m., 25/10/2005

+ Report-Checksum: E22611E5

+ Scan result:

[756] C:\WINDOWS\system32\guard.tmp -> Spyware.Look2Me : Error durante limpieza

[820] C:\WINDOWS\system32\mbmtapi.dll -> Spyware.Look2Me : Limpio con backup

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\WNQVMNU1\mm[2].js -> Spyware.Chitika : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[2].txt -> Spyware.Cookie.Atdmt : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@commission-junction[2].txt -> Spyware.Cookie.Commission-junction : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@e-2dj6wjmygoc5mhq.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@statse.webtrendslive[1].txt -> Spyware.Cookie.Webtrendslive : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@www.epilot[1].txt -> Spyware.Cookie.Epilot : Limpio con backup

C:\WINDOWS\system32\mbmtapi.dll -> Spyware.Look2Me : Limpio con backup

::Fin Report

l2mfix

L2MFIX find log 1.04a

These are the registry keys present

**********************************************************************************

Winlogon/notify:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\

6c,00,00,00

"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

"DLLName"="cscdll.dll"

"Logon"="WinlogonLogonEvent"

"Logoff"="WinlogonLogoffEvent"

"ScreenSaver"="WinlogonScreenSaverEvent"

"Startup"="WinlogonStartupEvent"

"Shutdown"="WinlogonShutdownEvent"

"StartShell"="WinlogonStartShellEvent"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Dynamic Directory]

"Asynchronous"=dword:00000000

"DllName"="C:\\WINDOWS\\system32\\enj8l11u1.dll"

"Impersonate"=dword:00000000

"Logon"="WinLogon"

"Logoff"="WinLogoff"

"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]

@=""

"DLLName"="igfxsrvc.dll"

"Asynchronous"=dword:00000001

"Impersonate"=dword:00000001

"Unlock"="WinlogonUnlockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

"DLLName"="wlnotify.dll"

"Logon"="SCardStartCertProp"

"Logoff"="SCardStopCertProp"

"Lock"="SCardSuspendCertProp"

"Unlock"="SCardResumeCertProp"

"Enabled"=dword:00000001

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"StartShell"="SchedStartShell"

"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

"Logoff"="WLEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

"DLLName"="WlNotify.dll"

"Lock"="SensLockEvent"

"Logon"="SensLogonEvent"

"Logoff"="SensLogoffEvent"

"Safe"=dword:00000001

"MaxWait"=dword:00000258

"StartScreenSaver"="SensStartScreenSaverEvent"

"StopScreenSaver"="SensStopScreenSaverEvent"

"Startup"="SensStartupEvent"

"Shutdown"="SensShutdownEvent"

"StartShell"="SensStartShellEvent"

"PostShell"="SensPostShellEvent"

"Disconnect"="SensDisconnectEvent"

"Reconnect"="SensReconnectEvent"

"Unlock"="SensUnlockEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"Logoff"="TSEventLogoff"

"Logon"="TSEventLogon"

"PostShell"="TSEventPostShell"

"Shutdown"="TSEventShutdown"

"StartShell"="TSEventStartShell"

"Startup"="TSEventStartup"

"MaxWait"=dword:00000258

"Reconnect"="TSEventReconnect"

"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

"DLLName"="wlnotify.dll"

"Logon"="RegisterTicketExpiredNotificationEvent"

"Logoff"="UnregisterTicketExpiredNotificationEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above

Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de)

This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:

(NI) ALLOW Full access NT AUTHORITY\SYSTEM

(IO) ALLOW Full access NT AUTHORITY\SYSTEM

(NI) ALLOW Full access NT AUTHORITY\SYSTEM

(IO) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-NI) ALLOW Read BUILTIN\Usuarios

(ID-IO) ALLOW Read BUILTIN\Usuarios

(ID-NI) ALLOW Read BUILTIN\Usuarios avanzados

(ID-IO) ALLOW Read BUILTIN\Usuarios avanzados

(ID-NI) ALLOW Full access BUILTIN\Administradores

(ID-IO) ALLOW Full access BUILTIN\Administradores

(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-IO) ALLOW Full access CREATOR OWNER

**********************************************************************************

useragent:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

"{5B86A424-EF1F-2A26-5705-89F53E5D7110}"=""

**********************************************************************************

Shell Extension key:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

"{00022613-0000-0000-C000-000000000046}"="Hoja de propiedades de archivos multimedia"

"{176d6597-26d3-11d1-b350-080036a75b03}"="Administraci¢n de esc ner ICM"

"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="P gina de seguridad NTFS"

"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="P gina de propiedades del archivo de documentos OLE"

"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensiones de interfaz para uso compartido"

"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"

"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extensi¢n CPL del adaptador de pantalla"

"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extensi¢n CPL del monitor de pantalla"

"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extensi¢n de paneo de pantalla del Panel de control"

"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="P gina de seguridad DS"

"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="P gina de compatibilidad"

"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell Scrap DataHandler"

"{59099400-57FF-11CE-BD94-0020AF85B590}"="Extensi¢n de copia de discos"

"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensiones del shell para objetos de la red de Microsoft Windows"

"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Administraci¢n de monitor ICM"

"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Administraci¢n de impresora ICM"

"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensiones del shell para compresi¢n de archivos"

"{77597368-7b15-11d0-a0c2-080036af3f03}"="Extensi¢n del shell de impresora en Web"

"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"

"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Men£ de contexto de cifrado"

"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Malet¡n"

"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extensi¢n de icono de HyperTerminal"

"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fuentes"

"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Perfil de ICC"

"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="P gina de seguridad de impresoras"

"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensiones de interfaz para uso compartido"

"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"

"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extensi¢n PKO cifrada"

"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extensi¢n de firma cifrada"

"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Conexiones de red"

"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Conexiones de red"

"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&C maras y esc neres"

"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&C maras y esc neres"

"{905667aa-acd6-11d2-8080-00805f6596d2}"="&C maras y esc neres"

"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&C maras y esc neres"

"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&C maras y esc neres"

"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"

"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensiones del shell para Windows Script Host"

"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="V¡nculos a datos de Microsoft"

"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"

"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"

"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tareas programadas"

"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"

"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"

"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barra de tareas y men£ Inicio"

"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Buscar"

"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Ayuda y soporte t‚cnico"

"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Ayuda y soporte t‚cnico"

"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ejecutar..."

"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"

"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Correo electr¢nico"

"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Fuentes"

"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Herramientas administrativas"

"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"

"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"

"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"

"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"

"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"

"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"

"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"

"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"

"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barra de herramientas de Microsoft Internet"

"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Estado de la descarga"

"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Carpeta Shell aumentada"

"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Carpeta 2 Shell aumentada"

"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"

"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Banda del explorador de Microsoft"

"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Banda de b£squeda"

"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="B£squeda en panel"

"{07798131-AF23-11d1-9111-00A0C98BA67D}"="B£squeda Web"

"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilidad de opciones del  rbol de Registro"

"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Direcci¢n"

"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Cuadro de la direcci¢n"

"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Autocompletar de Microsoft"

"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"

"{6756A641-DE71-11d0-831B-00AA005B4383}"="Lista autocompleta MRU"

"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Lista autocompleta MRU personalizada"

"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"

"{acf35015-526e-4230-9596-becbe19f0ac9}"="Barra de progreso emergente"

"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Lista autocompleta de la historia de Microsoft"

"{03C036F1-A186-11D0-824A-00AA005B4383}"="Lista autocompleta de la carpeta Shell de Microsoft"

"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Contenedor de la Lista m£ltiple de Microsoft"

"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Men£ de sitio de bandas Shell"

"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"

"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barra de escritorio Shell"

"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"

"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Asistencia al usuario"

"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Configuraci¢n de carpeta global"

"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"

"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"

"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"

"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"

"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"

"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Servicio de Historial de las direcciones URL de Microsoft"

"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historial"

"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Archivos temporales de Internet"

"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Archivos temporales de Internet"

"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Hook de b£squeda de direcciones URL de Microsoft"

"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Pantalla de bienvenida de IE4 Suite"

"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"

"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"

"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"

"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"

"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"

"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Banda de Explorador"

"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"

"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"

"{88C6C381-2E85-11D0-94DE-444553540000}"="Carpeta del cach‚ de ActiveX"

"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"

"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"

"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Carpeta de suscripciones"

"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"

"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"

"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"

"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"

"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"

"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"

"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"

"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Administrador de aplicaciones de Shell"

"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Enumerador de aplicaciones instaladas"

"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"

"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"

"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"

"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"

"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extractor de vistas en miniatura de archivos GDI+"

"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Controlador de la informaci¢n de resumen para vistas en miniatura (DOCFILES)"

"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extractor de vistas en miniatura HTML"

"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"

"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Asistente para la publicaci¢n en Web"

"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Pedido de impresiones v¡a web"

"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objeto de Asistente de publicaci¢n de shell"

"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Asistente para obtener pasaporte"

"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Cuentas de usuario"

"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"

"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"

"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Archivo de canal"

"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Acceso directo al canal"

"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Objeto de control de canal"

"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"

"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"

"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"

"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"

"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"

"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"

"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"

"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"

"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"

"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"

"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"

"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"

"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"

"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"

"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"

"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"

"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"

"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"

"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"

"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"

"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"

"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Carpeta de archivos sin conexi¢n"

"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"

"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"

"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"

"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"

"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"

"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Personas..."

"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"

"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"

"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"

"{BDA77241-42F6-11d0-85E2-00AA001FE28C}"="LDVP Shell Extensions"

"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"

"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Carpetas Web"

"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"

"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"

"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"

"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"

"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"

"{EAB21351-DF12-450F-9B0C-1C0B2509058D}"=""

**********************************************************************************

HKEY ROOT CLASSIDS:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{EAB21351-DF12-450F-9B0C-1C0B2509058D}]

@=""

[HKEY_CLASSES_ROOT\CLSID\{EAB21351-DF12-450F-9B0C-1C0B2509058D}\Implemented Categories]

@=""

[HKEY_CLASSES_ROOT\CLSID\{EAB21351-DF12-450F-9B0C-1C0B2509058D}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]

@=""

[HKEY_CLASSES_ROOT\CLSID\{EAB21351-DF12-450F-9B0C-1C0B2509058D}\InprocServer32]

@="C:\\WINDOWS\\system32\\bnackbox.dll"

"ThreadingModel"="Apartment"

**********************************************************************************

Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\

atmtd.dll Fri 21 Oct 2005 12:47:56p A.... 687,592 671.48 K

bnackbox.dll Sun 23 Oct 2005 1:03:20p ..S.R 234,825 229.32 K

enj8l1~1.dll Sun 23 Oct 2005 12:24:18p ..S.R 234,825 229.32 K

gwfspi~1.dll Wed 3 Aug 2005 10:33:38a A.... 23,304 22.76 K

legitc~1.dll Mon 29 Aug 2005 1:27:12p A.... 520,968 508.76 K

manipu~1.dll Wed 3 Aug 2005 2:54:10p A.... 253,952 248.00 K

o0pqla~1.dll Sun 23 Oct 2005 1:03:20p ..S.R 236,395 230.85 K

pncrt.dll Fri 30 Sep 2005 1:09:20p A.... 278,528 272.00 K

pndx5016.dll Fri 30 Sep 2005 1:09:24p A.... 6,656 6.50 K

pndx5032.dll Fri 30 Sep 2005 1:09:24p A.... 5,632 5.50 K

px.dll Wed 10 Aug 2005 4:49:06p ..... 356,352 348.00 K

pxdrv.dll Wed 10 Aug 2005 4:49:08p ..... 380,928 372.00 K

pxmas.dll Wed 10 Aug 2005 4:49:08p ..... 159,744 156.00 K

pxwave.dll Wed 10 Aug 2005 4:49:08p ..... 339,968 332.00 K

pxwma.dll Wed 10 Aug 2005 4:49:08p ..... 10,752 10.50 K

rmoc3260.dll Fri 30 Sep 2005 1:09:52p A.... 176,167 172.04 K

vxblock.dll Wed 10 Aug 2005 4:49:08p ..... 28,672 28.00 K

17 items found: 17 files (3 H/S), 0 directories.

Total of file sizes: 3,935,260 bytes 3.75 M

Locate .tmp files:

No matches found.

**********************************************************************************

Directory Listing of system files:

El volumen de la unidad C no tiene etiqueta.

El n£mero de serie del volumen es: 9C26-1CA6

Directorio de C:\WINDOWS\System32

23/10/2005 01:03 p.m. 234,825 bnackbox.dll

23/10/2005 01:03 p.m. 236,395 o0pqla751d.dll

23/10/2005 12:24 p.m. 234,825 enj8l11u1.dll

20/08/2005 11:10 a.m. <DIR> dllcache

08/08/2005 04:36 p.m. <DIR> Microsoft

3 archivos 706,045 bytes

2 dirs 12,602,621,952 bytes libres

HiJackThis

Logfile of HijackThis v1.99.1

Scan saved at 11:27:12 a.m., on 25/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\NavNT\vptray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE

C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\NavNT\defwatch.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\Archivos de programa\NavNT\rtvscan.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\MsgSys.EXE

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

F:\Software\Instaladores\hijackthis_sfx\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [vptray] C:\Archivos de programa\NavNT\vptray.exe

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Epson Control Print] C:\Archivos de programa\Epson\Ink Monitor\E_S1RN01.exe

O4 - HKLM\..\Run: [EPSON Stylus CX1500 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE /P26 "EPSON Stylus CX1500 Series" /O6 "USB001" /M "Stylus CX1500"

O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Archivos de programa\HighCriteria\TotalRecorder\TotRecSched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O8 - Extra context menu item: Sothink SWF Catcher - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QWRtaW5pc3RyYWRvcgAA\command.exe (file missing)

O23 - Service: DefWatch - Symantec Corporation - C:\Archivos de programa\NavNT\defwatch.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Archivos de programa\NavNT\rtvscan.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe
 

Caito

Ex- Mod
Miembro
Ahora vuelve a ejecutar el l2mfix y haz doble click en l2mfix.bat y selecciona la opción “#2” para que corra el Fix tecleando “2” y Enter, luego pulsa cualquier letra para reiniciar la pc. Al reiniciar los íconos del escritorio aparecerán y desaparecerán lo que es normal y luego el notepad aparecerá con el log que tendrás que copiar y pegar como respuesta a este post.

saludos

Caito
 

sohun

Nuevo Miembro
Miembro
Hola Caito,

Pensarás que soy torpe :( pero el log no me aparece al reiniciar windows, tampoco parpadean los iconos.... después de ejecutar la opción 2 y no ver el log, lo que hice fue ejecutar la opción 1, para que me diera un log... pude ver que casi al final del mismo aparece:

17 items found: 17 files (2 H/S), 0 directories.

Total of file sizes: 3,933,690 bytes 3.75 M

Locate .tmp files:

C:\WINDOWS\SYSTEM32\

guard.tmp Sun 23 Oct 2005 3:40:20p ..S.R 234,825 229.32 K

Es la fecha de la infección de mi PC. La verdad no sé, si este log es el que necesitas, pero pues es todo lo relacionado con el l2mfix... espero sea útil y gracias por tu paciencia y ayuda.

L2MFIX find log 1.04a

These are the registry keys present

**********************************************************************************

Winlogon/notify:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\

6c,00,00,00

"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

"DLLName"="cscdll.dll"

"Logon"="WinlogonLogonEvent"

"Logoff"="WinlogonLogoffEvent"

"ScreenSaver"="WinlogonScreenSaverEvent"

"Startup"="WinlogonStartupEvent"

"Shutdown"="WinlogonShutdownEvent"

"StartShell"="WinlogonStartShellEvent"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]

@=""

"DLLName"="igfxsrvc.dll"

"Asynchronous"=dword:00000001

"Impersonate"=dword:00000001

"Unlock"="WinlogonUnlockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

"DLLName"="wlnotify.dll"

"Logon"="SCardStartCertProp"

"Logoff"="SCardStopCertProp"

"Lock"="SCardSuspendCertProp"

"Unlock"="SCardResumeCertProp"

"Enabled"=dword:00000001

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"StartShell"="SchedStartShell"

"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

"Logoff"="WLEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

"DLLName"="WlNotify.dll"

"Lock"="SensLockEvent"

"Logon"="SensLogonEvent"

"Logoff"="SensLogoffEvent"

"Safe"=dword:00000001

"MaxWait"=dword:00000258

"StartScreenSaver"="SensStartScreenSaverEvent"

"StopScreenSaver"="SensStopScreenSaverEvent"

"Startup"="SensStartupEvent"

"Shutdown"="SensShutdownEvent"

"StartShell"="SensStartShellEvent"

"PostShell"="SensPostShellEvent"

"Disconnect"="SensDisconnectEvent"

"Reconnect"="SensReconnectEvent"

"Unlock"="SensUnlockEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"Logoff"="TSEventLogoff"

"Logon"="TSEventLogon"

"PostShell"="TSEventPostShell"

"Shutdown"="TSEventShutdown"

"StartShell"="TSEventStartShell"

"Startup"="TSEventStartup"

"MaxWait"=dword:00000258

"Reconnect"="TSEventReconnect"

"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

"DLLName"="wlnotify.dll"

"Logon"="RegisterTicketExpiredNotificationEvent"

"Logoff"="UnregisterTicketExpiredNotificationEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]

"DLLName"="wzcdlg.dll"

"Logon"="WZCEventLogon"

"Logoff"="WZCEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000000

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above

Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de)

This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:

(CI) DENY --C------- BUILTIN\Administradores

(NI) ALLOW Full access NT AUTHORITY\SYSTEM

(IO) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-NI) ALLOW Read BUILTIN\Usuarios

(ID-IO) ALLOW Read BUILTIN\Usuarios

(ID-NI) ALLOW Read BUILTIN\Usuarios avanzados

(ID-IO) ALLOW Read BUILTIN\Usuarios avanzados

(ID-NI) ALLOW Full access BUILTIN\Administradores

(ID-IO) ALLOW Full access BUILTIN\Administradores

(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-IO) ALLOW Full access CREATOR OWNER

**********************************************************************************

useragent:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

"{5B86A424-EF1F-2A26-5705-89F53E5D7110}"=""

**********************************************************************************

Shell Extension key:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

"{00022613-0000-0000-C000-000000000046}"="Hoja de propiedades de archivos multimedia"

"{176d6597-26d3-11d1-b350-080036a75b03}"="Administraci¢n de esc ner ICM"

"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="P gina de seguridad NTFS"

"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="P gina de propiedades del archivo de documentos OLE"

"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Extensiones de interfaz para uso compartido"

"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"

"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Extensi¢n CPL del adaptador de pantalla"

"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Extensi¢n CPL del monitor de pantalla"

"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Extensi¢n de paneo de pantalla del Panel de control"

"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="P gina de seguridad DS"

"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="P gina de compatibilidad"

"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell Scrap DataHandler"

"{59099400-57FF-11CE-BD94-0020AF85B590}"="Extensi¢n de copia de discos"

"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Extensiones del shell para objetos de la red de Microsoft Windows"

"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Administraci¢n de monitor ICM"

"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Administraci¢n de impresora ICM"

"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Extensiones del shell para compresi¢n de archivos"

"{77597368-7b15-11d0-a0c2-080036af3f03}"="Extensi¢n del shell de impresora en Web"

"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"

"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Men£ de contexto de cifrado"

"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Malet¡n"

"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Extensi¢n de icono de HyperTerminal"

"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fuentes"

"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Perfil de ICC"

"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="P gina de seguridad de impresoras"

"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Extensiones de interfaz para uso compartido"

"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"

"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Extensi¢n PKO cifrada"

"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Extensi¢n de firma cifrada"

"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Conexiones de red"

"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Conexiones de red"

"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&C maras y esc neres"

"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&C maras y esc neres"

"{905667aa-acd6-11d2-8080-00805f6596d2}"="&C maras y esc neres"

"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&C maras y esc neres"

"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&C maras y esc neres"

"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"

"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Extensiones del shell para Windows Script Host"

"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="V¡nculos a datos de Microsoft"

"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"

"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"

"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Tareas programadas"

"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"

"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"

"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Barra de tareas y men£ Inicio"

"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Buscar"

"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Ayuda y soporte t‚cnico"

"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Ayuda y soporte t‚cnico"

"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ejecutar..."

"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"

"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Correo electr¢nico"

"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Fuentes"

"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Herramientas administrativas"

"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"

"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"

"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"

"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"

"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"

"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"

"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"

"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"

"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Barra de herramientas de Microsoft Internet"

"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Estado de la descarga"

"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Carpeta Shell aumentada"

"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Carpeta 2 Shell aumentada"

"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"

"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Banda del explorador de Microsoft"

"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Banda de b£squeda"

"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="B£squeda en panel"

"{07798131-AF23-11d1-9111-00A0C98BA67D}"="B£squeda Web"

"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Utilidad de opciones del  rbol de Registro"

"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Direcci¢n"

"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Cuadro de la direcci¢n"

"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Autocompletar de Microsoft"

"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"

"{6756A641-DE71-11d0-831B-00AA005B4383}"="Lista autocompleta MRU"

"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Lista autocompleta MRU personalizada"

"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"

"{acf35015-526e-4230-9596-becbe19f0ac9}"="Barra de progreso emergente"

"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Lista autocompleta de la historia de Microsoft"

"{03C036F1-A186-11D0-824A-00AA005B4383}"="Lista autocompleta de la carpeta Shell de Microsoft"

"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Contenedor de la Lista m£ltiple de Microsoft"

"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Men£ de sitio de bandas Shell"

"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"

"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Barra de escritorio Shell"

"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"

"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Asistencia al usuario"

"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Configuraci¢n de carpeta global"

"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"

"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"

"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"

"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"

"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"

"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Servicio de Historial de las direcciones URL de Microsoft"

"{FF393560-C2A7-11CF-BFF4-444553540000}"="Historial"

"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Archivos temporales de Internet"

"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Archivos temporales de Internet"

"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Hook de b£squeda de direcciones URL de Microsoft"

"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Pantalla de bienvenida de IE4 Suite"

"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"

"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"

"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"

"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"

"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"

"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Banda de Explorador"

"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"

"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"

"{88C6C381-2E85-11D0-94DE-444553540000}"="Carpeta del cach‚ de ActiveX"

"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"

"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"

"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Carpeta de suscripciones"

"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"

"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"

"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"

"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"

"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"

"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"

"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"

"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Administrador de aplicaciones de Shell"

"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Enumerador de aplicaciones instaladas"

"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"

"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"

"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"

"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"

"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="Extractor de vistas en miniatura de archivos GDI+"

"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Controlador de la informaci¢n de resumen para vistas en miniatura (DOCFILES)"

"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Extractor de vistas en miniatura HTML"

"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"

"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Asistente para la publicaci¢n en Web"

"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Pedido de impresiones v¡a web"

"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Objeto de Asistente de publicaci¢n de shell"

"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Asistente para obtener pasaporte"

"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Cuentas de usuario"

"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"

"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"

"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Archivo de canal"

"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Acceso directo al canal"

"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Objeto de control de canal"

"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"

"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"

"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"

"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"

"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"

"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"

"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"

"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"

"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"

"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"

"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"

"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"

"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"

"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"

"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"

"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"

"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"

"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"

"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"

"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"

"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"

"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Carpeta de archivos sin conexi¢n"

"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"

"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"

"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"

"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"

"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"

"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Personas..."

"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"

"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"

"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"

"{BDA77241-42F6-11d0-85E2-00AA001FE28C}"="LDVP Shell Extensions"

"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"

"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Carpetas Web"

"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"

"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"

"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"

"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"

"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"

"{EAB21351-DF12-450F-9B0C-1C0B2509058D}"=""

**********************************************************************************

HKEY ROOT CLASSIDS:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{EAB21351-DF12-450F-9B0C-1C0B2509058D}]

@=""

[HKEY_CLASSES_ROOT\CLSID\{EAB21351-DF12-450F-9B0C-1C0B2509058D}\Implemented Categories]

@=""

[HKEY_CLASSES_ROOT\CLSID\{EAB21351-DF12-450F-9B0C-1C0B2509058D}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]

@=""

[HKEY_CLASSES_ROOT\CLSID\{EAB21351-DF12-450F-9B0C-1C0B2509058D}\InprocServer32]

@="C:\\WINDOWS\\system32\\guard.tmp"

"ThreadingModel"="Apartment"

**********************************************************************************

Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\

atmtd.dll Fri 21 Oct 2005 12:47:56p A.... 687,592 671.48 K

gwfspi~1.dll Wed 3 Aug 2005 10:33:38a A.... 23,304 22.76 K

legitc~1.dll Mon 29 Aug 2005 1:27:12p A.... 520,968 508.76 K

manipu~1.dll Wed 3 Aug 2005 2:54:10p A.... 253,952 248.00 K

oaeprn.dll Tue 25 Oct 2005 1:25:02p ..S.R 234,825 229.32 K

pncrt.dll Fri 30 Sep 2005 1:09:20p A.... 278,528 272.00 K

pndx5016.dll Fri 30 Sep 2005 1:09:24p A.... 6,656 6.50 K

pndx5032.dll Fri 30 Sep 2005 1:09:24p A.... 5,632 5.50 K

px.dll Wed 10 Aug 2005 4:49:06p ..... 356,352 348.00 K

pxdrv.dll Wed 10 Aug 2005 4:49:08p ..... 380,928 372.00 K

pxmas.dll Wed 10 Aug 2005 4:49:08p ..... 159,744 156.00 K

pxwave.dll Wed 10 Aug 2005 4:49:08p ..... 339,968 332.00 K

pxwma.dll Wed 10 Aug 2005 4:49:08p ..... 10,752 10.50 K

rmoc3260.dll Fri 30 Sep 2005 1:09:52p A.... 176,167 172.04 K

tvkwks.dll Tue 25 Oct 2005 1:12:36p ..S.R 234,825 229.32 K

vxblock.dll Wed 10 Aug 2005 4:49:08p ..... 28,672 28.00 K

__dele~1.dll Tue 25 Oct 2005 9:55:32a A.... 234,825 229.32 K

17 items found: 17 files (2 H/S), 0 directories.

Total of file sizes: 3,933,690 bytes 3.75 M

Locate .tmp files:

C:\WINDOWS\SYSTEM32\

guard.tmp Sun 23 Oct 2005 3:40:20p ..S.R 234,825 229.32 K

1 item found: 1 file (1 H/S), 0 directories.

Total of file sizes: 234,825 bytes 229.32 K

**********************************************************************************

Directory Listing of system files:

El volumen de la unidad C no tiene etiqueta.

El n£mero de serie del volumen es: 9C26-1CA6

Directorio de C:\WINDOWS\System32

25/10/2005 01:25 p.m. 234,825 oaeprn.dll

25/10/2005 01:12 p.m. 234,825 tvkwks.dll

23/10/2005 03:40 p.m. 234,825 guard.tmp

20/08/2005 11:10 a.m. <DIR> dllcache

08/08/2005 04:36 p.m. <DIR> Microsoft

3 archivos 704,475 bytes

2 dirs 16,009,310,208 bytes libres
 

sohun

Nuevo Miembro
Miembro
Que tal Caito,

Al parecer ya todo quedó resuelto!!

Ok, ejecutando second.bat el l2mfix ya me dió un log. Quizá algo de lo que me sucedió pueda ayudar a alguien con el mismo problema. Aquí está 'una teoría' de cómo funcionó el l2mfix y el Ewido.

Cuando ejecuté por primera vez la función #2 del l2mfix lo que sucedió fue que el archivo Guard.tmp fue desenmascarado, es decir, que ya podía verlo en la carpeta C:/Windows/system32, sin embargo no me permitió eliminarlo (quizá a quién si le aparecía el log al reiniciar podía neutralizarlo), seguían apareciendo ventanas.

Fue hasta que ejecuté el second.bat dentro de la carpeta de l2mfix cuando me apareció un log, y a la vez para ser que esa acción 'encapsuló' (neutralizó) al guard.tmp, desde ese instante dejaron de aparecerme las molestas ventanas.

Después el Ewido limpió mi sistema y de hecho te pregunta si deseas eliminar el zip donde l2mfix encerró el Guard.tmp. (En mi log no aparece ya el guard.tmp marcado como limpio porque fue una segunda ejecución del Ewido, pero si salió en la primera donde lo borré).

Al parecer mi sistema quedó limpio del maldito Guard.tmp, aún no he reiniciado mi PC, pero dudo que regrese, no es su 'patrón de comportamiento', si aún quedaran vestigios, seguiría manifestándose con las ventanitas. Llevo ya 2 horas sin ningún pop up.

Espero ya no darte más lata Caito. Agradezco infinitamente tu ayuda y paciencia, felicidades por el excelente soporte que nos das de forma desinteresada. Lugares como este y personas así contribuyen en gran medida a que tengamos un Internet más seguro y amigable.

Te dejo los logs:

L2Mfix 1.04a



Running From:

F:\Software\Instaladores\eliminar adware\l2mfix



RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above

Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de)

This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:

(CI) DENY --C------- BUILTIN\Administradores

(NI) ALLOW Full access NT AUTHORITY\SYSTEM

(IO) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-NI) ALLOW Read BUILTIN\Usuarios

(ID-IO) ALLOW Read BUILTIN\Usuarios

(ID-NI) ALLOW Read BUILTIN\Usuarios avanzados

(ID-IO) ALLOW Read BUILTIN\Usuarios avanzados

(ID-NI) ALLOW Full access BUILTIN\Administradores

(ID-IO) ALLOW Full access BUILTIN\Administradores

(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-IO) ALLOW Full access CREATOR OWNER



Setting registry permissions:



RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above

Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de)

This program is Freeware, use it on your own risk!

Denying C(CI) access for predefined group "Administrators"

- adding new ACCESS DENY entry

- removing existing ACCESS DENY entry



Registry Permissions set todo:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above

Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de)

This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:

(CI) DENY --C------- BUILTIN\Administradores

(NI) ALLOW Full access NT AUTHORITY\SYSTEM

(IO) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-NI) ALLOW Read BUILTIN\Usuarios

(ID-IO) ALLOW Read BUILTIN\Usuarios

(ID-NI) ALLOW Read BUILTIN\Usuarios avanzados

(ID-IO) ALLOW Read BUILTIN\Usuarios avanzados

(ID-NI) ALLOW Full access BUILTIN\Administradores

(ID-IO) ALLOW Full access BUILTIN\Administradores

(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-IO) ALLOW Full access CREATOR OWNER



Setting up for Reboot





Starting Reboot!



Setting Directory

F:\Software\Instaladores\eliminar adware\l2mfix

System Rebooted!



Running From:

F:\Software\Instaladores\eliminar adware\l2mfix



killing explorer and rundll32.exe

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

Killing PID 1440 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

Killing PID 1552 'rundll32.exe'



Scanning First Pass. Please Wait!



First Pass Completed



Second Pass Scanning



Second pass Completed!

Backing Up: C:\WINDOWS\system32\__delete_on_reboot__mbmtapi.dll

1 archivos copiados.

Backing Up: C:\WINDOWS\system32\tvkwks.dll

1 archivos copiados.

Backing Up: C:\WINDOWS\system32\wlecedit.dll

1 archivos copiados.

Backing Up: C:\WINDOWS\system32\guard.tmp

1 archivos copiados.

deleting: C:\WINDOWS\system32\__delete_on_reboot__mbmtapi.dll

Successfully Deleted: C:\WINDOWS\system32\__delete_on_reboot__mbmtapi.dll

deleting: C:\WINDOWS\system32\tvkwks.dll

Successfully Deleted: C:\WINDOWS\system32\tvkwks.dll

deleting: C:\WINDOWS\system32\wlecedit.dll

Successfully Deleted: C:\WINDOWS\system32\wlecedit.dll

deleting: C:\WINDOWS\system32\guard.tmp

Successfully Deleted: C:\WINDOWS\system32\guard.tmp





Zipping up files for submission:

adding: __delete_on_reboot__mbmtapi.dll (deflated 5%)

adding: tvkwks.dll (deflated 5%)

adding: wlecedit.dll (deflated 5%)

adding: guard.tmp (deflated 5%)

adding: echo.reg (deflated 14%)

adding: clear.reg (deflated 22%)

adding: readme.txt (deflated 52%)

adding: direct.txt (deflated 2%)

adding: lo2.txt (deflated 76%)

adding: report.txt (deflated 64%)

adding: test2.txt (stored 0%)

adding: test3.txt (stored 0%)

adding: test5.txt (stored 0%)

adding: test.txt (deflated 50%)

adding: xfind.txt (deflated 43%)

adding: backregs/notibac.reg (deflated 88%)

adding: backregs/shell.reg (deflated 74%)

adding: backregs/EAB21351-DF12-450F-9B0C-1C0B2509058D.reg (deflated 70%)



Restoring Registry Permissions:



RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above

Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de)

This program is Freeware, use it on your own risk!

Revoking access for predefined group "Administrators"

Inherited ACE can not be revoked here!

Inherited ACE can not be revoked here!



Registry permissions set todo:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above

Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de)

This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:

(NI) ALLOW Full access NT AUTHORITY\SYSTEM

(IO) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-NI) ALLOW Read BUILTIN\Usuarios

(ID-IO) ALLOW Read BUILTIN\Usuarios

(ID-NI) ALLOW Read BUILTIN\Usuarios avanzados

(ID-IO) ALLOW Read BUILTIN\Usuarios avanzados

(ID-NI) ALLOW Full access BUILTIN\Administradores

(ID-IO) ALLOW Full access BUILTIN\Administradores

(ID-NI) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-IO) ALLOW Full access NT AUTHORITY\SYSTEM

(ID-IO) ALLOW Full access CREATOR OWNER

Restoring Sedebugprivilege:



Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332



Restoring Windows Update Certificates.:



deleting local copy: __delete_on_reboot__mbmtapi.dll

deleting local copy: tvkwks.dll

deleting local copy: wlecedit.dll

deleting local copy: guard.tmp



The following Is the Current Export of the Winlogon notify key:

****************************************************************************

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\

6c,00,00,00

"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

"DLLName"="cscdll.dll"

"Logon"="WinlogonLogonEvent"

"Logoff"="WinlogonLogoffEvent"

"ScreenSaver"="WinlogonScreenSaverEvent"

"Startup"="WinlogonStartupEvent"

"Shutdown"="WinlogonShutdownEvent"

"StartShell"="WinlogonStartShellEvent"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]

@=""

"DLLName"="igfxsrvc.dll"

"Asynchronous"=dword:00000001

"Impersonate"=dword:00000001

"Unlock"="WinlogonUnlockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

"DLLName"="wlnotify.dll"

"Logon"="SCardStartCertProp"

"Logoff"="SCardStopCertProp"

"Lock"="SCardSuspendCertProp"

"Unlock"="SCardResumeCertProp"

"Enabled"=dword:00000001

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"StartShell"="SchedStartShell"

"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

"Logoff"="WLEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

"DLLName"="WlNotify.dll"

"Lock"="SensLockEvent"

"Logon"="SensLogonEvent"

"Logoff"="SensLogoffEvent"

"Safe"=dword:00000001

"MaxWait"=dword:00000258

"StartScreenSaver"="SensStartScreenSaverEvent"

"StopScreenSaver"="SensStopScreenSaverEvent"

"Startup"="SensStartupEvent"

"Shutdown"="SensShutdownEvent"

"StartShell"="SensStartShellEvent"

"PostShell"="SensPostShellEvent"

"Disconnect"="SensDisconnectEvent"

"Reconnect"="SensReconnectEvent"

"Unlock"="SensUnlockEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"Logoff"="TSEventLogoff"

"Logon"="TSEventLogon"

"PostShell"="TSEventPostShell"

"Shutdown"="TSEventShutdown"

"StartShell"="TSEventStartShell"

"Startup"="TSEventStartup"

"MaxWait"=dword:00000258

"Reconnect"="TSEventReconnect"

"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

"DLLName"="wlnotify.dll"

"Logon"="RegisterTicketExpiredNotificationEvent"

"Logoff"="UnregisterTicketExpiredNotificationEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]

"DLLName"="wzcdlg.dll"

"Logon"="WZCEventLogon"

"Logoff"="WZCEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000000



The following are the files found:

****************************************************************************

C:\WINDOWS\system32\__delete_on_reboot__mbmtapi.dll

C:\WINDOWS\system32\tvkwks.dll

C:\WINDOWS\system32\wlecedit.dll

C:\WINDOWS\system32\guard.tmp



Registry Entries that were Deleted:

Please verify that the listing looks ok.

If there was something deleted wrongly there are backups in the backreg folder.

****************************************************************************

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

"{EAB21351-DF12-450F-9B0C-1C0B2509058D}"=-

[-HKEY_CLASSES_ROOT\CLSID\{EAB21351-DF12-450F-9B0C-1C0B2509058D}]

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

"SV1"=""

****************************************************************************

Desktop.ini Contents:

****************************************************************************

****************************************************************************

Ewido

---------------------------------------------------------

ewido security suite - Report de exploración

---------------------------------------------------------

+ Creado en: 01:16:12 a.m., 26/10/2005

+ Report-Checksum: EA5C830E

+ Scan result:

C:\Documents and Settings\Administrador\Cookies\administrador@atdmt[2].txt -> Spyware.Cookie.Atdmt : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@e-2dj6wfliqicjcgp.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Limpio con backup

C:\Documents and Settings\Administrador\Cookies\administrador@e-2dj6wjnygmczeho.stats.esomniture[2].txt -> Spyware.Cookie.Esomniture : Limpio con backup

::Fin Report

GRACIAS CAITO
 

Caito

Ex- Mod
Miembro
Buen trabajo xDD

te agradezco por mi parte que nos contaras el desarrollo de la limpieza para ayudar a otros con el mismo problema.

Por ahora cierro este tema pero si quieres reabrirlo mándame un MP(mensaje privado).

Saludos

Caito
 
Estado
Cerrado para nuevas respuestas.
Arriba Pie