Eliminar dialer, ayuda por favor

Estado
Cerrado para nuevas respuestas

firebat42

Nuevo Miembro
Miembro
Hola, a ver si alguien me puede decir cómo eliminar un maldito dialer que se me ha colado en mi pc.

El McAffe me lo detecta pero me dice que no lo puede eliminar (supongo que será porque el muy cabrón está ejecutándose desde que inicio el sistema). Se encuentra en la siguiente ruta:

C:\Documents and Settings\Jose\Configuración local\Temp\Supercontenidos.exe

Como veis, el maldito es Supercontenidos. exe.

Me dice después en el McAffe: Nombre del programa: Dialer-gen.

No encuentro forma de eliminarlo. Por favor, que alguien me diga qué programita bajarse o qué hacer para eliminarlo, porque cuando intento eliminarlo yendo yo mismo a la carpeta donde se localiza, siempre me sale un mensaje de error de Internet explorer diciéndome que ha detectado un error y que debe cerrarse, y se me queda pillado el ordenador.
 

alnitak

Ex-Admin
Miembro
Por favor, bájate el HijackThis 1.99.1 descomprímelo en c:\ ejecútalo, dale a Do a system scan and save a log, salva el log y cópialo aquí para poder ver todas las entradas del dialer.
 

firebat42

Nuevo Miembro
Miembro
Hola alnitak, aquí tienes lo que me pediste:

Logfile of HijackThis v1.99.1

Scan saved at 0:49:11, on 15/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\Archivos de programa\ZyXEL\ADSL USB Modem\Cn:)slTb.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE

C:\Archivos de programa\D-Tools\daemon.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\ntvdm.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\update\start.exe

C:\WINDOWS\update\WinUpdate.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Benítez\Mis documentos\Importante\Descargas\HijackThis.exe

C:\WINDOWS\update\pv.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.eresmas.com/?h=1800000136

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [Cn:)slTaskBar] "C:\Archivos de programa\ZyXEL\ADSL USB Modem\Cn:)slTb.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P37 "EPSON Stylus CX3600 Series (Copiar 1)" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [update] C:\WINDOWS\update\hide C:\WINDOWS\update\ess.bat

O4 - HKCU\..\Run: [UnSpyPC] "C:\Archivos de programa\UnSpyPC\UnSpyPC.exe"

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14e0e068c18553...RdxIE601_es.cab

O16 - DPF: {6596829B-37D4-40AD-971B-1E9041725C52} - http://www.direct-ip.com/deliver/spain/ms.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...387/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0488002F-F0A8-4B0C-8B1B-24AFF0831E72}: NameServer = 85.255.115.50,85.255.112.118

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D509F9F-B0A5-4CEB-8291-B458A5DCBF3D}: NameServer = 85.255.115.50 85.255.112.118

O17 - HKLM\System\CS1\Services\Tcpip\..\{0488002F-F0A8-4B0C-8B1B-24AFF0831E72}: NameServer = 85.255.115.50,85.255.112.118

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Desde que escribí el mensaje he intentando hacer unas cuantas cosas para solucionar el problema. Intenté eliminar los archivos de la carpeta Temp de forma manual, pero como ya dije antes me salía un error de Internet Explorer que me devolvía al escritorio, quedándoseme además pillado el pc. Entonces, probé a ejecutar en Inicio>Ejecutar %TEMP%, y conseguí acceder a los archivos de la carpeta Temp. Los seleccioné todos y le di a suprimir: se me borraron todos menos una carpeta, una maldita carpeta que me dice no puede borrarse "porque el directorio no está vacío"... La cosa es que no tiene ningún archivo dentro, ni siquiera oculto, aunque supongo que por ahí andará el dialer cabrón este... La carpeta tiene dentro otra carpeta, y ambas tienen un nombre formado por números y letras (si te hace falta saber el nombre concreto, házmelo saber). Lo curioso es que tras hacer esto (y también sea dicho de paso, intentar eliminar esas malditas carpetas de todas las formas posibles: desde otra cuenta de usuario, iniciando Windows en modo a prueba de fallos...) cuando paso el McAffe ya no me detecta el dialer, me dice que estoy limpio, e igualmente el Ad-aware, que antes se quedaba pillado justo cuando escaneaba la ruta "infectada", ahora me dice también que estoy limpio. En resumen, aparentemente estoy limpio, pero la realidad es que las carpetas esas no las puedo eliminar y cada vez que inicio Windows (tengo el XP) me aparecen en el escritorio una serie de recuadros, cada uno de "temática" distinta: gambling, pharmacy, sex, spyware, dating...

Ya te digo, he probado de todos: iniciar Windows en modo a prueba de fallos y pasarle entonces el Ad-aware y el McAffe, crear otra cuenta de usuario e intentar borrar la antigua (que es donde está el dialer), he escaneado el pc de forma online en pandasoftware. es, pero nada de nada.

También he encontrado unos "manuales" con una serie de pasos a seguir para eliminar supuestamente este dialer-gen, pero resulta que los registros que me aparecen y que debo borrar ninguno, pero ninguno, los tengo en las rutas que se me especifican debería tenerlos. Es decir, que no me sirven para nada los manuales que he encontrado.

Por favor, ayudame, no quiero formatear el pc...

Gracias por tu atención
 

Caito

Ex- Mod
Miembro
Baja la versión trial del Spy Sweeper :

Descarga Spy Sweeper

Instálalo usando “Standard Install “opción.

Te pedirá una dirección de email .

Se actualizará.

Luego andá a “Options”>Sweep options” y marca “Sweep all folders on selected drives”

Marca “Local disc C “ ( o pon el que quieres analizar )

Y en “What to Sweep “ selecciona todas las casillas

Haz clic en “Sweep” y comenzará el scaneo

Al finalizar haz clic en “Remove”, clic en “Selected All “ y luego pulsa “Next”

En “Results” selecciona “Session Log “, marca “Save to File “

Guarda el reporte (Log) en un lugar conveniente.

Copia y pega ese log en tu próximo pos junto a un nuevo reporte del Hijack.

Saludos

Caito
 

firebat42

Nuevo Miembro
Miembro
Hola Caito, he hecho lo que decías en tu mensaje. Aquí tienes el log del Spy Sweeper justo antes de haber tenido que reiniciar el pc, porque decía que uno de los archivos que me detectó no se podía borrar hasta que no reiniciara:

********

15:43: | Start of Session, jueves, 15 de diciembre de 2005 |

15:43: Spy Sweeper started

15:43: Sweep initiated using definitions versión 584

15:43: Starting Memory Sweep

15:44: Found Trojan Horse: trojan-downloader-ruin

15:44: Detected running threat: C:\WINDOWS\explorer.exe (ID = 81)

15:45: Found Adware: idesk

15:45: Detected running threat: C:\WINDOWS\system32\idemlog.exe (ID = 205677)

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run || desktop (ID = 0)

15:45: Detected running threat: C:\Archivos de programa\Internet Explorer\iexplore.exe (ID = 81)

15:45: Memory Sweep Complete, Elapsed Time: 00:02:03

15:45: Starting Registry Sweep

15:45: Found Adware: altnet

15:45: HKCR\clsid\{3646c2bd-3554-49ca-8125-44deefb881de}\ (1 subtraces) (ID = 103462)

15:45: Found Adware: commander toolbar

15:45: HKCR\clsid\{29f7b7fa-adc8-48ea-9e1c-ea87a05ae642}\ (4 subtraces) (ID = 106768)

15:45: HKLM\software\classes\clsid\{29f7b7fa-adc8-48ea-9e1c-ea87a05ae642}\ (4 subtraces) (ID = 106770)

15:45: Found Adware: searchtoolbar

15:45: HKLM\software\searchtoolbar\ (3 subtraces) (ID = 141346)

15:45: HKLM\software\microsoft\windows\currentversion\urls\ (10 subtraces) (ID = 605127)

15:45: HKLM\software\microsoft\windows\currentversion\ruins\ (8 subtraces) (ID = 605128)

15:45: HKLM\system\currentcontrolset\services\zpmodemsysntdrvnt\ (12 subtraces) (ID = 1047250)

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\software\microsoft\internet explorer\toolbar\webbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 139177)

15:45: Found Adware: quicklink search toolbar

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\software\microsoft\internet explorer\toolbar\webbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 139177)

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\software\searchtoolbar\ (5 subtraces) (ID = 141343)

15:45: Found Trojan Horse: trojan-downloader-sccash

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\software\microsoft\windows\currentversion\run\ || desktop (ID = 144747)

15:45: Found Adware: hotconnect dialer

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\software\montorgueil\ (22 subtraces) (ID = 879699)

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\software\microsoft\internet explorer\toolbar\shellbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 1020297)

15:45: Registry Sweep Complete, Elapsed Time:00:00:17

15:45: Starting Cookie Sweep

15:45: Found Spy Cookie: atlas dmt cookie

15:45: benítez@atdmt[2].txt (ID = 2253)

15:45: Found Spy Cookie: falkag cookie

15:45: jose@as-us.falkag[1].txt (ID = 2650)

15:45: Found Spy Cookie: belnk cookie

15:45: jose@belnk[1].txt (ID = 2292)

15:45: Found Spy Cookie: casalemedia cookie

15:45: jose@casalemedia[2].txt (ID = 2354)

15:45: jose@dist.belnk[2].txt (ID = 2293)

15:45: Found Spy Cookie: tribalfusion cookie

15:45: jose@tribalfusion[1].txt (ID = 3589)

15:45: Cookie Sweep Complete, Elapsed Time: 00:00:02

15:45: Starting File Sweep

15:45: Found Adware: commonname

15:45: c:\windows\temp\adware (1 subtraces) (ID = -2147481214)

15:46: cswuq.exe (ID = 203528)

15:48: pppcgm.exe (ID = 125496)

15:51: idemlog.exe (ID = 205677)

15:51: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run || desktop (ID = 0)

16:03: zpmodemnt.sys (ID = 205674)

16:07: ct.inf (ID = 53722)

16:07: Found System Monitor: potentially rootkit-masked files

16:07: 06-haze-7_virgenes_(tema_principal_de_la_pelicula_7_virgenes)-www.mp3-es.com.mp3 (ID = 0)

16:07: 01-haze-mi_alma_(no_quiere_dinero)_con_andy_y_lucas-www.mp3-es.com.mp3 (ID = 0)

16:08: File Sweep Complete, Elapsed Time: 00:22:32

16:08: Full Sweep has completed. Elapsed time 00:24:56

16:08: Traces Found: 102

16:08: Removal process initiated

16:08: Quarantining All Traces: potentially rootkit-masked files

16:09: potentially rootkit-masked files is in use. It will be removed on reboot.

16:09: 06-haze-7_virgenes_(tema_principal_de_la_pelicula_7_virgenes)-www.mp3-es.com.mp3 is in use. It will be removed on reboot.

16:09: 01-haze-mi_alma_(no_quiere_dinero)_con_andy_y_lucas-www.mp3-es.com.mp3 is in use. It will be removed on reboot.

16:09: Quarantining All Traces: trojan-downloader-ruin

16:09: Warning: Unable to quarantine C:\WINDOWS\explorer.exe. This is a protected operating system file.

16:09: Failed to quarantine trojan-downloader-ruin

16:09: cswuq.exe is in use. It will be removed on reboot.

16:09: Failed to quarantine C:\WINDOWS\explorer.exe

16:09: Failed to quarantine C:\Archivos de programa\Internet Explorer\iexplore.exe

16:09: Quarantining All Traces: commonname

16:09: Quarantining All Traces: trojan-downloader-sccash

16:09: Quarantining All Traces: altnet

16:09: Quarantining All Traces: commander toolbar

16:09: Quarantining All Traces: hotconnect dialer

16:09: Quarantining All Traces: idesk

16:09: idesk is in use. It will be removed on reboot.

16:09: idemlog.exe is in use. It will be removed on reboot.

16:09: Quarantining All Traces: quicklink search toolbar

16:09: Quarantining All Traces: searchtoolbar

16:09: Quarantining All Traces: atlas dmt cookie

16:09: Quarantining All Traces: belnk cookie

16:09: Quarantining All Traces: casalemedia cookie

16:09: Quarantining All Traces: falkag cookie

16:09: Quarantining All Traces: tribalfusion cookie

16:09: Warning: Timed out waiting for explorer.exe

16:09: Warning: Timed out waiting for explorer.exe

16:09: Warning: Launched explorer.exe

16:09: Warning: Quarantine process could not restart Explorer.

16:10: Removal process completed. Elapsed time 00:01:14

********

15:41: | Start of Session, jueves, 15 de diciembre de 2005 |

15:41: Spy Sweeper started

15:41: Updating spyware definitions

15:42: Your spyware definitions have been updated.

15:43: | End of Session, jueves, 15 de diciembre de 2005 |

Tras reiniciar, se me inició Windows de forma normal, sin que me apareciera nada raro en el escritorio... ¡¡¡ Gracias tío !!! Lo que me sigue mosqueando es que he pasado de nuevo el Spy Sweeper varias veces y me vuelve a detectar el trojan-downloader-ruin. Aquí tienes el log del Spy Sweeper tras haber reiniciado tras el primer escaneo:

********

16:17: | Start of Session, jueves, 15 de diciembre de 2005 |

16:17: Spy Sweeper started

16:17: Sweep initiated using definitions versión 584

16:17: Starting Memory Sweep

16:18: Found Trojan Horse: trojan-downloader-ruin

16:18: Detected running threat: C:\WINDOWS\explorer.exe (ID = 81)

16:18: Detected running threat: C:\Archivos de programa\Internet Explorer\iexplore.exe (ID = 81)

16:18: Memory Sweep Complete, Elapsed Time: 00:01:49

16:18: Starting Registry Sweep

16:19: HKLM\software\microsoft\windows\currentversion\ruins\ (1 subtraces) (ID = 605128)

16:19: Registry Sweep Complete, Elapsed Time:00:00:15

16:19: Starting Cookie Sweep

16:19: Cookie Sweep Complete, Elapsed Time: 00:00:00

16:19: Starting File Sweep

16:42: File Sweep Complete, Elapsed Time: 00:22:52

16:42: Full Sweep has completed. Elapsed time 00:24:59

16:42: Traces Found: 4

********

15:43: | Start of Session, jueves, 15 de diciembre de 2005 |

15:43: Spy Sweeper started

15:43: Sweep initiated using definitions versión 584

15:43: Starting Memory Sweep

15:44: Found Trojan Horse: trojan-downloader-ruin

15:44: Detected running threat: C:\WINDOWS\explorer.exe (ID = 81)

15:45: Found Adware: idesk

15:45: Detected running threat: C:\WINDOWS\system32\idemlog.exe (ID = 205677)

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run || desktop (ID = 0)

15:45: Detected running threat: C:\Archivos de programa\Internet Explorer\iexplore.exe (ID = 81)

15:45: Memory Sweep Complete, Elapsed Time: 00:02:03

15:45: Starting Registry Sweep

15:45: Found Adware: altnet

15:45: HKCR\clsid\{3646c2bd-3554-49ca-8125-44deefb881de}\ (1 subtraces) (ID = 103462)

15:45: Found Adware: commander toolbar

15:45: HKCR\clsid\{29f7b7fa-adc8-48ea-9e1c-ea87a05ae642}\ (4 subtraces) (ID = 106768)

15:45: HKLM\software\classes\clsid\{29f7b7fa-adc8-48ea-9e1c-ea87a05ae642}\ (4 subtraces) (ID = 106770)

15:45: Found Adware: searchtoolbar

15:45: HKLM\software\searchtoolbar\ (3 subtraces) (ID = 141346)

15:45: HKLM\software\microsoft\windows\currentversion\urls\ (10 subtraces) (ID = 605127)

15:45: HKLM\software\microsoft\windows\currentversion\ruins\ (8 subtraces) (ID = 605128)

15:45: HKLM\system\currentcontrolset\services\zpmodemsysntdrvnt\ (12 subtraces) (ID = 1047250)

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\software\microsoft\internet explorer\toolbar\webbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 139177)

15:45: Found Adware: quicklink search toolbar

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\software\microsoft\internet explorer\toolbar\webbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 139177)

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\software\searchtoolbar\ (5 subtraces) (ID = 141343)

15:45: Found Trojan Horse: trojan-downloader-sccash

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\software\microsoft\windows\currentversion\run\ || desktop (ID = 144747)

15:45: Found Adware: hotconnect dialer

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\software\montorgueil\ (22 subtraces) (ID = 879699)

15:45: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\software\microsoft\internet explorer\toolbar\shellbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 1020297)

15:45: Registry Sweep Complete, Elapsed Time:00:00:17

15:45: Starting Cookie Sweep

15:45: Found Spy Cookie: atlas dmt cookie

15:45: benítez@atdmt[2].txt (ID = 2253)

15:45: Found Spy Cookie: falkag cookie

15:45: jose@as-us.falkag[1].txt (ID = 2650)

15:45: Found Spy Cookie: belnk cookie

15:45: jose@belnk[1].txt (ID = 2292)

15:45: Found Spy Cookie: casalemedia cookie

15:45: jose@casalemedia[2].txt (ID = 2354)

15:45: jose@dist.belnk[2].txt (ID = 2293)

15:45: Found Spy Cookie: tribalfusion cookie

15:45: jose@tribalfusion[1].txt (ID = 3589)

15:45: Cookie Sweep Complete, Elapsed Time: 00:00:02

15:45: Starting File Sweep

15:45: Found Adware: commonname

15:45: c:\windows\temp\adware (1 subtraces) (ID = -2147481214)

15:46: cswuq.exe (ID = 203528)

15:48: pppcgm.exe (ID = 125496)

15:51: idemlog.exe (ID = 205677)

15:51: HKU\S-1-5-21-1547161642-1647877149-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run || desktop (ID = 0)

16:03: zpmodemnt.sys (ID = 205674)

16:07: ct.inf (ID = 53722)

16:07: Found System Monitor: potentially rootkit-masked files

16:07: 06-haze-7_virgenes_(tema_principal_de_la_pelicula_7_virgenes)-www.mp3-es.com.mp3 (ID = 0)

16:07: 01-haze-mi_alma_(no_quiere_dinero)_con_andy_y_lucas-www.mp3-es.com.mp3 (ID = 0)

16:08: File Sweep Complete, Elapsed Time: 00:22:32

16:08: Full Sweep has completed. Elapsed time 00:24:56

16:08: Traces Found: 102

16:08: Removal process initiated

16:08: Quarantining All Traces: potentially rootkit-masked files

16:09: potentially rootkit-masked files is in use. It will be removed on reboot.

16:09: 06-haze-7_virgenes_(tema_principal_de_la_pelicula_7_virgenes)-www.mp3-es.com.mp3 is in use. It will be removed on reboot.

16:09: 01-haze-mi_alma_(no_quiere_dinero)_con_andy_y_lucas-www.mp3-es.com.mp3 is in use. It will be removed on reboot.

16:09: Quarantining All Traces: trojan-downloader-ruin

16:09: Warning: Unable to quarantine C:\WINDOWS\explorer.exe. This is a protected operating system file.

16:09: Failed to quarantine trojan-downloader-ruin

16:09: cswuq.exe is in use. It will be removed on reboot.

16:09: Failed to quarantine C:\WINDOWS\explorer.exe

16:09: Failed to quarantine C:\Archivos de programa\Internet Explorer\iexplore.exe

16:09: Quarantining All Traces: commonname

16:09: Quarantining All Traces: trojan-downloader-sccash

16:09: Quarantining All Traces: altnet

16:09: Quarantining All Traces: commander toolbar

16:09: Quarantining All Traces: hotconnect dialer

16:09: Quarantining All Traces: idesk

16:09: idesk is in use. It will be removed on reboot.

16:09: idemlog.exe is in use. It will be removed on reboot.

16:09: Quarantining All Traces: quicklink search toolbar

16:09: Quarantining All Traces: searchtoolbar

16:09: Quarantining All Traces: atlas dmt cookie

16:09: Quarantining All Traces: belnk cookie

16:09: Quarantining All Traces: casalemedia cookie

16:09: Quarantining All Traces: falkag cookie

16:09: Quarantining All Traces: tribalfusion cookie

16:09: Warning: Timed out waiting for explorer.exe

16:09: Warning: Timed out waiting for explorer.exe

16:09: Warning: Launched explorer.exe

16:09: Warning: Quarantine process could not restart Explorer.

16:10: Removal process completed. Elapsed time 00:01:14

********

15:41: | Start of Session, jueves, 15 de diciembre de 2005 |

15:41: Spy Sweeper started

15:41: Updating spyware definitions

15:42: Your spyware definitions have been updated.

15:43: | End of Session, jueves, 15 de diciembre de 2005 |

Me he fijado en el log y dice: "Failed to quarantine trojan-downloader-ruin". Ahí se confirma que en mi pc sigue estando el maldito trojan-downloader-ruin... Ocurre que cuando lo detecto con el Spy Sweeper me dice justo al intentar eliminarlo que está en la memoria o algo así, y que cierre todas las aplicaciones. Supongo que tendré que eliminarlo cerrando algúna aplicación, pero no se cual.

Tal y como me pedías, aquí tienes el log del HijackThis, ya una vez "limpio" el pc, pero con el trojan ese rulando aún:

Logfile of HijackThis v1.99.1

Scan saved at 16:57:18, on 15/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ZyXEL\ADSL USB Modem\Cn:)slTb.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

c:\archivos de programa\mcafee.com\agent\mcagent.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wdfmgr.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\WINDOWS\System32\alg.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Benítez\Mis documentos\Importante\Descargas\HijackThis 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.eresmas.com/?h=1800000136

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [Cn:)slTaskBar] "C:\Archivos de programa\ZyXEL\ADSL USB Modem\Cn:)slTb.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P37 "EPSON Stylus CX3600 Series (Copiar 1)" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14e0e068c18553...RdxIE601_es.cab

O16 - DPF: {6596829B-37D4-40AD-971B-1E9041725C52} - http://www.direct-ip.com/deliver/spain/ms.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...387/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0488002F-F0A8-4B0C-8B1B-24AFF0831E72}: NameServer = 85.255.115.50,85.255.112.118

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D509F9F-B0A5-4CEB-8291-B458A5DCBF3D}: NameServer = 85.255.115.50 85.255.112.118

O17 - HKLM\System\CS1\Services\Tcpip\..\{0488002F-F0A8-4B0C-8B1B-24AFF0831E72}: NameServer = 85.255.115.50,85.255.112.118

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

A ver si me puedes decir cómo eliminar el virus que aún sigue metido en mi pc... Aún así, gracias otra vez
 

Caito

Ex- Mod
Miembro
Bajar ewido security suite:

Ewido Anti-Malware

Actualizarlo acá:

Ewido Anti-Malware

Configurarlo así:

• Durante la instalación Abajo donde dice "Additional Options" Desmarca las casillas de "Install background guard" y "Install scan via context menu".

• Lanza o abre Ewido, Dandole doble click a una gran E que aparecera en tu escritorio

• El programa te preguntara algo sobre las actualizaciones. Click en OK. • El programa te mandara a la pantalla principal.

Tu vas a tener que actualizar las definiciones a la ultima version

• En el lado derecho de la pantalla principal da click en update

• Da click en Start

El proceso se va iniciar y seas informado mediante una barra de progreso.

Una vez las actualizaciones hayan sido instaladas haz lo siguiente:

• Reinicia en el modo seguro. Puedes hacer esto reiniciando tu PC, Y pulsando muchas veces la tela F8 hasta que un menu aparezca. Dirijete con la flecha hacia arriba para seleccionar el modo seguro. Dale enter. Cuando ya se inicie abre el ewido.

• Clickea en el scaner

• Antes de escanear verifica que las siguientes casillas de verificacion estén marcadas:

o Binder

o Crypter

o Archives

• Clickea en start scan

• Deja que el programa analize tu PC

Durante el progreso se te preguntara sobre desinfectar archivos clickea en OK. Una vez que el escaneo haya terminado, hay un boton localizado en la parte baja de la pantallla que dice save report

• Clickea en save report

• Guarda tu reporte en el escritorio

Limpias con ese prorama y nos pones el reporte y un nuevo log del hijack

Saludos

Caito
 

firebat42

Nuevo Miembro
Miembro
Hola de nuevo Caito. He seguido tus instrucciones. Aquí tienes el log del ewido tras la limpieza (que por cierto, me ha detectado tela de virus y cosas raras, y yo que me creia que sólo me quedaba por eliminar el trojan-downloader-ruin ese...):

---------------------------------------------------------

ewido security suite - Report de exploración

---------------------------------------------------------

+ Creado en: 2:43:25, 16/12/2005

+ Report-Checksum: 9F722DDB

+ Scan result:

HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{6596829B-37D4-40AD-971B-1E9041725C52} -> Spyware.Commander : Limpio con backup

C:\Documents and Settings\Jose\Cookies\jose@atdmt[2].txt -> Spyware.Cookie.Atdmt : Limpio con backup

C:\Documents and Settings\Jose\Cookies\jose@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Limpio con backup

C:\Documents and Settings\Jose\Cookies\jose@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Limpio con backup

C:\Documents and Settings\Jose\Cookies\jose@trafic[1].txt -> Spyware.Cookie.Trafic : Limpio con backup

C:\Documents and Settings\Jose\Mis documentos\Descargas\Cracks\Warcraft III\The Frozen Throne Crack\revolt.dll -> Trojan.Zapchast : Limpio con backup

C:\WINDOWS\Daphne.dll -> Dialer.Generic : Limpio con backup

C:\WINDOWS\system32\dmfdz.exe -> Trojan.DNSChanger.aw : Limpio con backup

C:\WINDOWS\system32\dmfqn.exe -> Trojan.DNSChanger.aw : Limpio con backup

C:\WINDOWS\system32\dmjsz.exe -> Trojan.DNSChanger.aw : Limpio con backup

C:\WINDOWS\system32\dmqdw.exe -> Trojan.DNSChanger.aw : Limpio con backup

C:\WINDOWS\system32\favset.exe -> Trojan.Favadd.an : Limpio con backup

C:\WINDOWS\system32\howiper.exe -> Trojan.Qhost.df : Limpio con backup

C:\WINDOWS\system32\sbb.dll -> Spyware.YayaShow : Limpio con backup

C:\WINDOWS\Temp\MT\ParisVoyeur[1].exe -> Dialer.Generic : Limpio con backup

C:\WINDOWS\update\ess.bat -> Trojan.Batch.Starter.e : Limpio con backup

C:\WINDOWS\update\pv.exe -> Not-A-Virus.Monitor.PrcView.3724 : Limpio con backup

::Fin Report

Aquí tienes el nuevo log del HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 2:51:55, on 16/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\WINDOWS\Explorer.EXE

c:\archivos de programa\mcafee.com\agent\mcdetect.exe

c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

C:\Archivos de programa\ZyXEL\ADSL USB Modem\Cn:)slTb.exe

C:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

c:\archiv~1\mcafee.com\vso\mcvsescn.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\ctfmon.exe

c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

c:\archiv~1\mcafee.com\vso\mcvsftsn.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Jose\Mis documentos\Descargas\HijackThis 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.eresmas.com/?h=1800000136

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\archiv~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [Cn:)slTaskBar] "C:\Archivos de programa\ZyXEL\ADSL USB Modem\Cn:)slTb.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [VSOCheckTask] "c:\ARCHIV~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] "c:\ARCHIV~1\mcafee.com\vso\mcvsshld.exe"

O4 - HKLM\..\Run: [MCAgentExe] c:\ARCHIV~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\ARCHIV~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copiar 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P37 "EPSON Stylus CX3600 Series (Copiar 1)" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14e0e068c18553...RdxIE601_es.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...387/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0488002F-F0A8-4B0C-8B1B-24AFF0831E72}: NameServer = 85.255.115.50,85.255.112.118

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D509F9F-B0A5-4CEB-8291-B458A5DCBF3D}: NameServer = 85.255.115.50 85.255.112.118

O17 - HKLM\System\CS1\Services\Tcpip\..\{0488002F-F0A8-4B0C-8B1B-24AFF0831E72}: NameServer = 85.255.115.50,85.255.112.118

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\archivos de programa\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\ARCHIV~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\ARCHIV~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\ARCHIV~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\ARCHIV~1\mcafee.com\vso\mcvsrte.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\WRSSSDK.exe

Tras haber hecho todo esto, he vuelto a pasar el Spy Sweeper y me ha vuelto a detectar:

Trojan Horse found: trojan-downloader-ruin

Spy Cookie found: atlas dmt cookie

Ya no sé que decirte tío, cuando parece que voy a quedarme limpio, me salen más virus o cosas raras, cada vez que meto un programa nuevo de escaneo, me salen nuevos virus o dialers... :( Quizá resulta que lo que me detecta no tiene importancia y suele estar en todo ordenador con conexión a Internet, pero como no sé de qué estoy hablando, pues me jode encontrarme que en cada escaneo tengo virus... Y lo que más me fastidia es lo siguiente, te explico: yo tengo una conexión a Internet con ADSL, con un módem Zyxel externo, pero anteriormente tenía una conexión de tarifa plana (el internet de antes, el cutre, el que se te cortaba cuando llamaban por teléfono... ) con un módem interno. Pues bien, me he fijado que desde que me entró el dialer el módem interno hace por conectarse, se escucha un "click" cada vez que se me está cargando Windows, como cuando tenía la conexión de tarifa plana yo le daba a conectarse y empezaba el módem a hacer sonidos extraños y finalmente se conectaba. Sé que no va a conectarse a ningún lado porque ese módem interno no tiene cable algúno conectado, pero si se sigue escuchando el "click" es porque el cabrón del dialer sigue dentro ¿¿no? ¿Podría conectarse el dialer con mi línea ADSL?

Tío, dime qué hacer para eliminar toda la m....da que tenga dentro de mi pc.... ¿Formateo? ¿Tiro la torre por la ventana?

Muchas gracias por toda la ayuda que me estás prestando

Un saludo
 

Caito

Ex- Mod
Miembro
Podrías fijarte en las líneas 017, en teoría se refieren a tu proveedor de Internet, pero buscando en Google no encuentro información.

Hay una manera de "limpiar" esas líneas pero no estoy seguro de cómo, creo que entrando en Red-conecciones se pone detectar las DNS automáticamente , podrías preguntar en el apartado del XP a ver si te responden, es lo único que se me ocurre, además de hacer un scan on line.

Saludos

Caito
 
Estado
Cerrado para nuevas respuestas
Arriba Pie