spy axe ayuda

**ciberjr** · 13/12/2005, 23:30

Se me ha instalado un spyware llamado spy axe y no soy capaz de quitarlo ya probe mirando en los foros con el elistarA, pasandolo en modo seguro y me dice que lo quita pero cuando vuelve a iniciar windows alli esta ese p..o mensaje Your computer is infected! y ya lo creo que esta.

A ver si alguien me da la clave para quitarlo aqui dejo el log del hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 23:16:11, on 13/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\HPQ\IAM\bin\asghost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Terra\Terra DSL\CnxDslTb.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe

C:\WINDOWS\system32\Notepad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe,penttsrv.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\penttsrv.exe,C:\Documents and Settings\ramon\Datos de programa\Explorer\penttsrv.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Archivos de programa\HPQ\IAM\Bin\ItIeAddIN.dll

O4 - HKLM\..\Run: [HPLJ Config] C:\Archivos de programa\Hewlett-Packard\hp LaserJet 1010 Series\SetConfig.exe -c Direct -p DOT4_001 -pn "hp LaserJet 1010 Series Driver" -n 0 -l 1034 -sl 120000

O4 - HKLM\..\Run: [Internet Connection] C:\WINDOWS\system32\penttsrv.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Archivos de programa\Terra\Terra DSL\CnxDslTb.exe

O4 - HKLM\..\Run: [MCAFInstaller_vsoins.ui] C:\DOCUME~1\ALLUSE~1\DATOSD~1\MCA59.tmp\MCAPPINS.e xe /v=3 /start=vsoins.ui::default.htm

O4 - HKCU\..\Run: [Internet Connection] C:\WINDOWS\system32\penttsrv.exe

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab

O16 - DPF: {B8634A6E-38D5-4AAE-8708-3F3DB92FF9D0} (NTR Activex 1.0.8) - http://213.96.249.70/inquiero/mod/se...activex108.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,26/mcgdmgr.cab

O16 - DPF: {CE306811-265E-4AC4-8DD4-712F2AF5A98E} (A3SOFT.A3FTP) - http://www-origin.a3software.com/a3ftp/a3ftp.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{A11EA64E-F64F-4A1D-9B39-913EF286B909}: NameServer = 195.235.113.3,195.235.96.90

O17 - HKLM\System\CCS\Services\Tcpip\..\{D2E09BD4-77DB-4A85-88DF-BF4D7C1D756E}: NameServer = 195.235.113.3 195.235.96.90

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

O20 - Winlogon Notify: OneCard - C:\Archivos de programa\HPQ\IAM\Bin\AsWlnPkg.dll

O21 - SSODL: Internet WebControl - {D1226E23-1715-4D46-B9F8-F79656238A50} - C:\WINDOWS\system32\evensusd.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Bueno espero que alguien me de la clave para quitar este molesto intruso es muy importante gracias por adelantado

**Caito** · 14/12/2005, 15:26

Si no sabes cómo hacer algunos de los procedimientos mira esto:

http://www.trucoswindows.net/forowindows/manuales-seguridad/19526-manual-pasos-seguir-hijackthis.html

Si dispones de un punto de restauración anterior a los problemas deberías intentar usarlo y después tomar otro log, es la única manera segura y la más rápida de solucionar el problema. Si no dispones de un punto de restauración sigue las siguientes instrucciones:

Baja la version trial del Spy Sweeper :

http://www.trucoswindows.net/descargas/spy-sweeper/

Instálalo usando “Standard Install “opción.

Te pedirá una dirección de email .

Se actualizará.

Luego andá a “Options”>Sweep options” y marca “Sweep all folders on selected drives”

Marca “Local disc C “ ( o pon el que quieres analizar )

Y en “What to Sweep “ selecciona todas las casillas

Haz clic en “Sweep” y comenzará el scaneo

Al finalizar haz clic en “Remove”, clic en “Selected All “ y luego pulsa “Next”

En “Results” selecciona “Session Log “, marca “Save to File “

Guarda el reporte (Log) en un lugar conveniente.

Copia y pega ese log en tu próximo pos junto a un nuevo reporte del Hijack.

Salu2

Caito

**ciberjr** · 15/12/2005, 10:09

Iniciado por Caito' date='Dec 14 2005, 03:26 PM

Si no sabes cómo hacer algunos de los procedimientos mira esto:

http://www.trucoswindows.net/forowindows/manuales-seguridad/19526-manual-pasos-seguir-hijackthis.html

Si dispones de un punto de restauración anterior a los problemas deberías intentar usarlo y después tomar otro log, es la única manera segura y la más rápida de solucionar el problema. Si no dispones de un punto de restauración sigue las siguientes instrucciones:

Baja la version trial del Spy Sweeper :

http://www.trucoswindows.net/descargas/spy-sweeper/

Instálalo usando “Standard Install “opción.

Te pedirá una dirección de email .

Se actualizará.

Luego andá a “Options”>Sweep options” y marca “Sweep all folders on selected drives”

Marca “Local disc C “ ( o pon el que quieres analizar )

Y en “What to Sweep “ selecciona todas las casillas

Haz clic en “Sweep” y comenzará el scaneo

Al finalizar haz clic en “Remove”, clic en “Selected All “ y luego pulsa “Next”

En “Results” selecciona “Session Log “, marca “Save to File “

Guarda el reporte (Log) en un lugar conveniente.

Copia y pega ese log en tu próximo pos junto a un nuevo reporte del Hijack.

Salu2

Caito

[snapback]190379[/snapback]

**ciberjr** · 15/12/2005, 10:23

He instalado el spy sweeper como me dijiste y cuando le ejecuto amaga pero no se abre nada. Esto mismo me pasa con el antivirus el panda antivirus titanium 2005 y tengo problemas con la red del trabajo donde engancho el portatil.

Asi que viendo el kilombo que tengo montado con el ordenata casi mejor que guardo los datos que pueda, formateo y vulevo instalar todo de nuevo.

De todas maneras envio el ultimo reporte del hijackthis que hice despues de intentar el tutorial que publicaron en el foro utilizando el killbox, delspguard, etc porque todavia no se si al final lo de reinstalar todo lo hare ahora o dentro de unos dias.

Logfile of HijackThis v1.99.1

Scan saved at 13:44:07, on 14/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\HPQ\IAM\bin\asghost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\hp LaserJet 1010 Series\SetConfig.exe

C:\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=explorer.exe,wdmasfc.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\wdmasfc.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Archivos de programa\HPQ\IAM\Bin\ItIeAddIN.dll

O4 - HKLM\..\Run: [HPLJ Config] C:\Archivos de programa\Hewlett-Packard\hp LaserJet 1010 Series\SetConfig.exe -c Direct -p DOT4_001 -pn "hp LaserJet 1010 Series Driver" -n 0 -l 1034 -sl 120000

O4 - HKLM\..\Run: [Internet Connection] C:\WINDOWS\system32\wdmasfc.exe

O4 - HKCU\..\Run: [Internet Connection] C:\WINDOWS\system32\wdmasfc.exe

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab

O16 - DPF: {B8634A6E-38D5-4AAE-8708-3F3DB92FF9D0} (NTR Activex 1.0.8) - http://213.96.249.70/inquiero/mod/se...activex108.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,26/mcgdmgr.cab

O16 - DPF: {CE306811-265E-4AC4-8DD4-712F2AF5A98E} (A3SOFT.A3FTP) - http://www-origin.a3software.com/a3ftp/a3ftp.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{A11EA64E-F64F-4A1D-9B39-913EF286B909}: NameServer = 195.235.113.3,195.235.96.90

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

O20 - Winlogon Notify: OneCard - C:\Archivos de programa\HPQ\IAM\Bin\AsWlnPkg.dll

O21 - SSODL: Internet WebControl - {D1226E23-1715-4D46-B9F8-F79656238A50} - C:\WINDOWS\system32\d3d9joy.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Gracias por todo.

**Caito** · 15/12/2005, 11:25

Imprime o copia estas indicaciones!!!

Si no sabes cómo hacer algunos de los procedimientos mira esto:

http://www.trucoswindows.net/forowindows/manuales-seguridad/19526-manual-pasos-seguir-hijackthis.html

Baja este programa:

disk cleaner

Disk Cleaner - Descargas Trucos Windows

Y el AdAware Se 1.06 :

http://www.trucoswindows.net/descargas/ad-aware/

Actualízalo al 14/12/05

Desconéctate físicamente de Internet (cables,ADSL, o Dial Up modem a tu PC )

Desactiva Restaurar Sistema (si tienes ME o XP )

Reinicia en Modo seguro o A prueba de Fallos

Haz que se vean todos los archivos.

Cierra todas las aplicaciones

Lanza el Hijack

Busca “Open the Misc Tools Section"

Selecciona "Open process manager"

Busca los siguientes procesos:

wdmasfc.exe

Y uno a uno termina estos procesos clickeando "Kill process" y “Yes”

Cuando terminas con todos clickea "Back"

Scan y luego Fix a estas:

F2 - REG:system.ini: Shell=explorer.exe,wdmasfc.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\wdmasfc.exe

O4 - HKLM\..\Run: [Internet Connection] C:\WINDOWS\system32\wdmasfc.exe

O4 - HKCU\..\Run: [Internet Connection] C:\WINDOWS\system32\wdmasfc.exe

O21 - SSODL: Internet WebControl - {D1226E23-1715-4D46-B9F8-F79656238A50} - C:\WINDOWS\system32\d3d9joy.dll

Cierra el Hijack.

Busca estos archivos y los eliminas: (pueden no estar )

C:\WINDOWS\system32\wdmasfc.exe

C:\WINDOWS\system32\d3d9joy.dll

Borra con el Disk Cleaner :Archivos Temp. de Internet,Temp. de Sistema,cookies,historial , etc.

Vacía la Papelera

Lanza el AdAware Se 1.06 actualizado al 14/12/05

Reinicia normal, conecta Internet y pega un nuevo log del Hijack.

Salu2

Caito

**ciberjr** · 15/12/2005, 17:37

Segui todas las indicaciones y sigo teniendo el dichoso mensaje en la barra de herramientas de que tenga un malware.

En todos los pasos me fueron saliendo las indicaciones menos en los procesos que tenia el jackthis en su seccion procces manager donde no aparecia el dichoso wdmascf.exe que salía:

smss.exe

winlogon.exe

services.exe

lssas.exe

svchost.exe

svchost.exe

c/arhivos de programa/Webroot/Spy Sweeper/wrrssdk.exe

c/archivos de programa/hp/iam/asgosht.exe

c/hijackthis

Efectivamente salieron las lineas que decias en el jackthis y las quite y por su parge el adware detecto el virus y lo elimino supuestamente, pero va a ser que no

Dejo el log del hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 17:22:58, on 15/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\HPQ\IAM\bin\asghost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Hewlett-Packard\hp LaserJet 1010 Series\SetConfig.exe

C:\hijackthis\hijackthis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Archivos de programa\HPQ\IAM\Bin\ItIeAddIN.dll

O4 - HKLM\..\Run: [HPLJ Config] C:\Archivos de programa\Hewlett-Packard\hp LaserJet 1010 Series\SetConfig.exe -c Direct -p DOT4_001 -pn "hp LaserJet 1010 Series Driver" -n 0 -l 1034 -sl 120000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab

O16 - DPF: {B8634A6E-38D5-4AAE-8708-3F3DB92FF9D0} (NTR Activex 1.0.8) - http://213.96.249.70/inquiero/mod/se...activex108.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,26/mcgdmgr.cab

O16 - DPF: {CE306811-265E-4AC4-8DD4-712F2AF5A98E} (A3SOFT.A3FTP) - http://www-origin.a3software.com/a3ftp/a3ftp.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{A11EA64E-F64F-4A1D-9B39-913EF286B909}: NameServer = 195.235.113.3,195.235.96.90

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

O20 - Winlogon Notify: OneCard - C:\Archivos de programa\HPQ\IAM\Bin\AsWlnPkg.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

Bueno a ver que me podias aconsejar gracias por anticipado.

**Caito** · 15/12/2005, 18:10

Bajar ewido security suite:

Descargar Ewido Anti-Malware | Seguridad - Anti-Spyware

Actualizarlo acá:

Descargar Ewido Anti-Malware | Seguridad - Anti-Spyware

Configurarlo así:

• Durante la instalacion Abajo donde dice "Additional Options" Desmarca las casillas de "Install background guard" y "Install scan via context menu".

• Lanza o abre Ewido, Dandole doble click a una gran E que aparecera en tu escritorio

• El programa te preguntara algo sobre las actualizaciones. Click en OK

• El programa te mandara a la pantalla principal.

Tu vas a tener que actualizar las definiciones a la ultima version

• En el lado derecho de la pantalla principal da click en update

• Da click en Start

El proceso se va iniciar y seas informado mediante una barra de progreso.

Una vez las actualizaciones hayan sido instaladas haz lo siguiente:

• Reinicia en el modo seguro. Puedes hacer esto reiniciando tu PC, Y pulsando muchas veces la tela F8 hasta que un menu aparezca. Dirijete con la flecha hacia arriba para seleccionar el modo seguro. Dale enter. Cuando ya se inicie abre el ewido.

• Clickea en el scaner

• Antes de escanear verifica que las siguientes casillas de verificacion esten marcadas:

o Binder

o Crypter

o Archives

• Clickea en start scan

• Deja que el programa analize tu PC

Durante el progreso se te preguntara sobre desinfectar archivos clickea en OK

Una vez que el escaneo haya terminado, hay un boton localizado en la parte baja de la pantallla que dice save report

• Clickea en save report

• Guarda tu reporte en el escritorio

Limpias y pones el reporte de ese programa y un nuevo log del hijack

Salu2

Caito

**ciberjr** · 16/12/2005, 00:25

Bueno parece que ha funcionado y ya no me aparece el dichoso mensaje de que tengo un malware se inicia el Panda y mañana en la oficina probare si va la red correctamente aunque eso sera otra cosa.

Te dejo los reportes que me dijistes que suponga que serviran para otros usuarios.

wido security suite - Report de exploración

---------------------------------------------------------

+ Creado en: 0:08:26, 16/12/2005

+ Report-Checksum: A98EDD5C

+ Scan result:

HKLM\SOFTWARE\ITConcepts\MasterRepository\UserDire ctories\{00000000-0000-0000-0000-000000000001} -> Spyware.AutoSearch : Limpio con backup

HKLM\SOFTWARE\ITConcepts\OneCard\DAC\UserDirectori es\{00000000-0000-0000-0000-000000000001} -> Spyware.AutoSearch : Limpio con backup

[920] C:\WINDOWS\system32\ioctrl.dll -> Adware.Spyaxe : Limpio con backup

C:\!Submit\penttsrv.exe -> Backdoor.PPdoor.bq : Limpio con backup

C:\!Submit\wdmasfc.exe -> Backdoor.PPdoor.bq : Limpio con backup

C:\WINDOWS\intercept.dll -> Adware.Spyaxe : Limpio con backup

C:\WINDOWS\system32\evensusd.dll -> Backdoor.PPdoor.bp : Limpio con backup

C:\WINDOWS\system32\intercept.dll -> Adware.Spyaxe : Limpio con backup

C:\WINDOWS\system32\ioctrl.dll -> Adware.Spyaxe : Limpio con backup

C:\WINDOWS\system32\ld885A.tmp -> Downloader.Zlob.cj : Limpio con backup

C:\WINDOWS\system32\mscornet.exe -> Downloader.Zlob.cq : Limpio con backup

C:\WINDOWS\system32\wpabmpcd.dll -> Backdoor.PPdoor.bp : Limpio con backup

::Fin Report

Logfile of HijackThis v1.99.1

Scan saved at 0:09:39, on 16/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Archivos de programa\HPQ\IAM\bin\asghost.exe

C:\WINDOWS\Explorer.EXE

C:\hijackthis\hijackthis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Archivos de programa\HPQ\IAM\Bin\ItIeAddIN.dll

O4 - HKLM\..\Run: [HPLJ Config] C:\Archivos de programa\Hewlett-Packard\hp LaserJet 1010 Series\SetConfig.exe -c Direct -p DOT4_001 -pn "hp LaserJet 1010 Series Driver" -n 0 -l 1034 -sl 120000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab

O16 - DPF: {B8634A6E-38D5-4AAE-8708-3F3DB92FF9D0} (NTR Activex 1.0.8) - http://213.96.249.70/inquiero/mod/se...activex108.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,26/mcgdmgr.cab

O16 - DPF: {CE306811-265E-4AC4-8DD4-712F2AF5A98E} (A3SOFT.A3FTP) - http://www-origin.a3software.com/a3ftp/a3ftp.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{A11EA64E-F64F-4A1D-9B39-913EF286B909}: NameServer = 195.235.113.3,195.235.96.90

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

O20 - Winlogon Notify: OneCard - C:\Archivos de programa\HPQ\IAM\Bin\AsWlnPkg.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\HPQ\SHARED\HPQWMI.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

Sin mas me despido agracediendote en el alma la ayuda y que en mi no va a quedar para recomendar esta web a todo el mundo .Un trabajo excelente

spy axe ayuda

Herramientas

Permisos de publicación