Trojan horse Downloader Agent.11.Q

Estado
Cerrado para nuevas respuestas.

Osoblanco

Nuevo Miembro
Miembro
Buenas Colegas... gracias desde ya por vuestras ayudas.

Me ha entrado a la pc este trojano.( trojan horse downloader.agen.11.Q) EL avg lo detecta y aparente mento lo elimina pero cuando abro una ventana de Explorer me vuelve a aparecer la advertencia del antivirus, le doy clic en eliminar y cada ves que ingreso a internet vuelve a aparecer lo mismo.

Podrían ayudarme a matar este vicho.. :)

Aquí ba mi log de hijack. inclusive aparece mi propia ip, lo he modificado claro con asterisco.

Logfile of HijackThis v1.98.2

Scan saved at 09:04:50 a.m., on 27/05/2005

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINNT\Explorer.exe

C:\WINNT\system32\kernels32.exe

C:\WINNT\loadqm.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe

C:\WINNT\System32\internat.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Yahoo!\Messenger\ypager.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgwb.dat

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgw.exe

C:\Archivos de programa\eMule\eMule.exe

C:\Archivos de programa\Windows Media Player\mplayer2.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\irpcb.dll/sp.html#37049

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\irpcb.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\irpcb.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\irpcb.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\irpcb.dll/sp.html#37049

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\irpcb.dll/sp.html#37049

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\System32\kernels32.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Class - {FBA8F451-5FF6-AA00-7E2B-B2A745711509} - C:\WINNT\sdkuc32.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [System] C:\WINNT\System32\kernels32.exe

O4 - HKLM\..\Run: [sdkjo32.exe] C:\WINNT\sdkjo32.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\RunServices: [SystemTools] C:\WINNT\System32\kernels32.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Archivos de programa\ATI Multimedia\TV\EXPLBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc.../bridge-c18.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FDF1EAD3-D791-4548-92E2-7C11D876BD4D}: NameServer = 90.4*.*.*,1**.1**.*.*

O17 - HKLM\System\CS1\Services\V:)\MSTCP: NameServer = 69.50.176.156,195.225.176.31

O17 - HKLM\System\CS2\Services\V:)\MSTCP: NameServer = 69.50.176.156,195.225.176.31

O17 - HKLM\System\CCS\Services\V:)\MSTCP: NameServer = 69.50.176.156,195.225.176.31
 

Osoblanco

Nuevo Miembro
Miembro
Aqui está mi nuevo log Caito. y muchas gracias por la pronta respuesta.

ya he escaneado con el spybot search. y aparentemento a borrado todos los programas maliciosos, aunque me siguen aparareciendo dos spyward.

A los que me parecen muy sospechosos los he marcado con un (*) asterisco a la derecha.

Logfile of HijackThis v1.99.1

Scan saved at 2:37:22 karlos, on 27/05/2005

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe *

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINNT\Explorer.exe

C:\WINNT\system32\kernels32.exe

C:\WINNT\loadqm.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe

C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE

C:\Documents and Settings\Carlos\Menú Inicio\Programas\Inicio\utalk.exe

C:\ARCHIV~1\INCRED~1\bin\IMApp.exe

C:\Archivos de programa\Microsoft Office\Office\WINWORD.EXE

C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\AcroRd32.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINNT\appbz.exe *

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\honnu.dll/sp.html#37049 *

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = * res://C:\WINNT\system32\honnu.dll/sp.html#37049 *

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\honnu.dll/sp.html#37049 *

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\honnu.dll/sp.html#37049 *

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\honnu.dll/sp.html#37049 *

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\honnu.dll/sp.html#37049

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\honnu.dll/sp.html#37049 *

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 1**.1**.1**.**:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing *

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\System32\kernels32.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Class - {FBA8F451-5FF6-AA00-7E2B-B2A745711509} - C:\WINNT\sdkuc32.dll *

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [System] C:\WINNT\System32\kernels32.exe

O4 - HKLM\..\Run: [sdkjo32.exe] C:\WINNT\sdkjo32.exe *

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\RunServices: [SystemTools] C:\WINNT\System32\kernels32.exe

O4 - HKLM\..\RunOnce: [appbz.exe] C:\WINNT\appbz.exe *

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [EPSON Stylus CX1500 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE /P26 "EPSON Stylus CX1500 Series" /M "Stylus CX1500" /EF "HKCU"

O4 - Startup: logFile.ini

O4 - Startup: reminder.txt

O4 - Startup: utalk.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Archivos de programa\ATI Multimedia\TV\EXPLBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm *

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm *

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll *

O12 - Plugin for .wav: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll *

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc.../bridge-c18.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FDF1EAD3-D791-4548-92E2- 7C11D876BD4D}: NameServer = 190.4*0.2*.1,19*.1*8.**.*1

O17 - HKLM\System\CS1\Services\V:)\MSTCP: NameServer = 69.50.176.156,195.225.176.31 *

O17 - HKLM\System\CS2\Services\V:)\MSTCP: NameServer = 69.50.176.156,195.225.176.31 *

O17 - HKLM\System\CCS\Services\V:)\MSTCP: NameServer = 69.50.176.156,195.225.176.31 *

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\winuc.exe (file missing) *

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

Hasta pronto..
 

Caito

Ex- Mod
Miembro
Imprime o copia estas indicaciones!!!

Si no sabes cómo hacer algúnos de los procedimientos mira esto:Manual pasos a seguir para el uso HijackThis

Antes que nada guarda el Hijack en su propia carpeta por ej: C>Limpiar>Hijack

Baja este programa:

disk cleaner

Disk Cleaner

Y el AdAware Se :

Ad-aware SE Personal

Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )

Reinicia en Modo seguro

Haz que se vean todos los archivos.

Cierra todas las aplicaciones

Ve a Inicio-Ejecutar y escribe :

services.msc

busca este :

Workstation NetLogon Service

cuando lo encuentres haz doble click sobre el y deshabilítalo y detenlo

acepta

Lanza el Hijack

Busca “Open the Misc Tools Section"

Selecciona "Open process manager"

Busca los siguientes procesos:

kernels32.exe

sdkjo32.exe

appbz.exe

winuc.exe

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:

C:\WINNT\system32\kernels32.exe

C:\WINNT\appbz.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\honnu.dll/sp.html#37049 *

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = * res://C:\WINNT\system32\honnu.dll/sp.html#37049 *

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\honnu.dll/sp.html#37049 *

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\honnu.dll/sp.html#37049 *

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\honnu.dll/sp.html#37049 *

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\honnu.dll/sp.html#37049

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\honnu.dll/sp.html#37049 *

R3 - Default URLSearchHook is missing *

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\System32\kernels32.exe

O4 - HKLM\..\Run: [System] C:\WINNT\System32\kernels32.exe

O4 - HKLM\..\Run: [sdkjo32.exe] C:\WINNT\sdkjo32.exe *

O4 - HKLM\..\RunServices: [SystemTools] C:\WINNT\System32\kernels32.exe

O4 - HKLM\..\RunOnce: [appbz.exe] C:\WINNT\appbz.exe *

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc.../bridge-c18.cab

O23 - Service: Workstation NetLogon Service ( 11Fßä #•ºÄÖ`I) - Unknown owner - C:\WINNT\winuc.exe (file missing) *

Cierra el Hijack.

Busca estos archivos y los eliminas:

C:\WINNT\system32\kernels32.exe

C:\WINNT\appbz.exe

C:\WINNT\system32\honnu.dll

C:\WINNT\sdkjo32.exe

C:\WINNT\winuc.exe

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se actualizado al 25/05/05

Reinicia normal, conecta Internet y pega un nuevo log

Saludos

Caito

Pd: las entradas 017 que no reconozcas como de tu ISP (Proovedor de Internet) deberías eliminarlas también , pero eso corre bajo tu responsabilidad.

Info :

http://www.arin.net

http://www.whois.net/

Esta si no la reconoces también puedes elminarla:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 1**.1**.1**.**:8080
 

Osoblanco

Nuevo Miembro
Miembro
Aqui está mi nuevo log, he realizado todos los pasos recomendados. Creo que el trojan a muerto.

Muchas gracias por todas las ayudas, si no fueran por ustedes mi solución sería un format y cargar de nuevo el S.O.

Una vez mas muchas y muchas gracias. bye .

La unica duda es la entrada 09. hasta la vista.....

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINNT\explorer.exe

C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINNT\loadqm.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe

C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE

C:\Documents and Settings\Carlos\Menú Inicio\Programas\Inicio\utalk.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\IncrediMail\bin\IncMail.exe

C:\ARCHIV~1\INCRED~1\bin\IMApp.exe

C:\Archivos de programa\Real\RealOne Player\RealPlay.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\rnathchk.exe

F:\Downloads\Seguridad\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\ARCHIV~1\Yahoo!\MESSEN~1\ypager.exe -quiet

O4 - HKCU\..\Run: [EPSON Stylus CX1500 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S4I4V1.EXE /P26 "EPSON Stylus CX1500 Series" /M "Stylus CX1500" /EF "HKCU"

O4 - Startup: logFile.ini

O4 - Startup: reminder.txt

O4 - Startup: utalk.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: Download with Star Downloader - C:\ARCHIV~1\STARDO~1\sdie.htm

O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Archivos de programa\ATI Multimedia\TV\EXPLBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

023 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
 

Caito

Ex- Mod
Miembro
Las 09 son inofensivas, del resto elimina esta:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

Saludos

Caito
 
Estado
Cerrado para nuevas respuestas.
Arriba Pie