Esta semana me ha entrado un troyano, no he parado pasarle todo tipo de antivirus, NOD32, AVG, ... y spyware, pero sigo sin poder modificar el fondo del escritorio, solo puedo cambiar el color,

mi log.

Logfile of HijackThis v1.99.1
Scan saved at 11:39:34, on 21/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Einsa Multimedia\GtEstimate\servicio.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
C:\Archivos de programa\Einsa Multimedia\GtEstimate\tbmux32.exe
C:\winnten\overnec\Overnet\Overnet.exe
C:\Archivos de programa\SinEspias\No-Spy.exe
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\a-squared\a2guard.exe
C:\Archivos de programa\Eset\nod32.exe
C:\HJT\HijackThis[www.trucoswindows.net].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cncmh.dll/sp.html#17702%everything4find.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cncmh.dll/sp.html#17702%everything4find.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cncmh.dll/sp.html#17702%everything4find.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\cncmh.dll/sp.html#17702%everything4find.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cncmh.dll/sp.html#17702%everything4find.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\cncmh.dll/sp.html#17702%everything4find.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\cncmh.dll/sp.html#17702%everything4find.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=C:\WINDOWS\inet20002\services.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [Overnet] C:\winnten\overnec\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [No Spy] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Xp_system] C:\WINDOWS\inet20002\services.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [a-squared] "C:\Archivos de programa\a-squared\a2guard.exe"
O4 - HKCU\..\Run: [Xp_system] C:\WINDOWS\inet20002\services.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Archivos de programa\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {2C779204-33E5-40D8-A7A2-342A1201EC4E} (FPDocConsoleX Control) - https://www.axa.es/FormsPath/install/FPDocCon.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_02) - https://213.4.114.213/AudacomWeb/applets/ji...indows-i586.cab
O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} (Oracle JInitiator 1.1.8.16) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BA4F527-48C2-40D3-94B7-231A7580DF8B}: NameServer = 195.235.113.3,195.235.96.90
O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\l8r0li9m18.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\iexg.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: ServicioEinsa - Unknown owner - C:\Archivos de programa\Einsa Multimedia\GtEstimate\servicio.exe
O23 - Service: Tb-GtEstimate - Transaction Software, D 81737 Munich - C:\Archivos de programa\Einsa Multimedia\GtEstimate\tbmux32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

gracias.

Imprime o copia estas indicaciones!!!

Si no sabes cómo hacer algunos de los procedimientos mira esto:
http://www.trucoswindows.net/foro/showtopic-25181.html

Si dispones de un punto de restauración anterior a los problemas deberías intentar usarlo y después tomar otro log, es la única manera segura y la más rápida de solucionar el problema. Si no dispones de un punto de restauración sigue las siguientes instrucciones:
Baja este programa:
disk cleaner

http://www.trucoswindows.net/downloadview-details-110-Disk_Cleaner_1.5.5.html

Y el AdAware Se 1.06 :

http://www.trucoswindows.net/detalles-59-a...rsonal_106.html
Actualízalo al 19/12/05
Bajar ewido security suite:

http://www.ewido.net/en/download/

Actualizarlo acá:

http://www.ewido.net/en/download/updates/

Configurarlo así:

• Durante la instalacion Abajo donde dice "Additional Options" Desmarca las casillas de "Install background guard" y "Install scan via context menu".
• Lanza o abre Ewido, Dandole doble click a una gran E que aparecera en tu escritorio
• El programa te preguntara algo sobre las actualizaciones. Click en OK
• El programa te mandara a la pantalla principal.
Tu vas a tener que actualizar las definiciones a la ultima version
• En el lado derecho de la pantalla principal da click en update
• Da click en Start
El proceso se va iniciar y seas informado mediante una barra de progreso.

Una vez las actualizaciones hayan sido instaladas haz lo siguiente:
• Reinicia en el modo seguro. Puedes hacer esto reiniciando tu PC, Y pulsando muchas veces la tela F8 hasta que un menu aparezca. Dirijete con la flecha hacia arriba para seleccionar el modo seguro. Dale enter. Cuando ya se inicie abre el ewido.
• Clickea en el scaner
• Antes de escanear verifica que las siguientes casillas de verificacion esten marcadas:
o Binder
o Crypter
o Archives
• Clickea en start scan
• Deja que el programa analize tu PC
Durante el progreso se te preguntara sobre desinfectar archivos clickea en OK

Una vez que el escaneo haya terminado, hay un boton localizado en la parte baja de la pantallla que dice save report
• Clickea en save report
• Guarda tu reporte en el escritorio
No lo uses aún!!!

Baja este programa :
http://www.atribune.org/downloads/l2mfix.exe
Guárdalo en tu escritorio.
Haz doble click en l2mfix.exe
Instálalo siguiendo las instrucciones y al aparecer este archivo : “ l2mfix “haz doble clic en : “l2mfix.bat” y elige la opción “#1” para correr “find log” poniendo 1
Y dándole Enter
Tardará unos minutos y luego se abrirá el Notepad y te dará un log que tendrás que copiar y pegar como respuesta a este post.
Es importante no darle a la opción “#2” o a otra a no ser que te lo diga en mi próximo post.
Además pon un nuevo log del hijack
Salu2
Caito

Limpio,
ya lo he comprobado n-esimas veces, está funcinonado normal y totalmente limpio.

muchas gracias
salu2
y felices fiestas.

OK.
Nos alegra que lo hayas solucionado
Felicidades
Caito