Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Problemas spyware /BetterInet, como lo quito?

23/04/2005 - 21:11 por Fernando | Informe spam
Ayuda Hacer una pregunta
Pues eso, al hacer el repaso con el panda porque me salia una ventana rara
sobre telefonia en cada web que entraba y eso q tengo el SP2 ,vaya
firewall.
Me ha salido que tenia este malware/spyware/BetterInet ¿como lo quito?
Ya lo tuve una vez y se fue, hace unos 15 dias..
Otra cosa, se me ha puesto en procesos un archivo muy raro que no me suena
de nada, y esta en la carpeta de windows, se llama HTPACTH.EXE y su icono es
un codigo de barras, ocupa 28kb, y si le doy porque es una aplicacion se va
poniendo en procesos tantas veces como le doy, si le doy 3 veces a ese
archivo, salen en procesos 3 veces el HTPACTH.EXE...con icono de codigo de
barras... ¿Igual es eso?
Porque no me suena de nada, ademas sale en lo de RUN, en el registro

Ayuda... gracias amigos...
email Siga el debateRespuesta 18 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#6 Fernando
24/04/2005 - 16:37 | Informe spam
Nada de nada, el Microsoft Antispyware tampoco ha podido con él, me ha
revisado el registro, las claves, todo, y me sale que 0 items ( rarisimo )
He pasado el Hijackthis y te pongo los resultados como me dijiste: ( una
cosa, hay un proceso q no sale , esta en windows/system32/alg.exe y pone q es
de SERVICIO LOCAL, pero las siglas alg: application layer gateway service,
eso me pone con el programa que tengo , el : Process Explorer...y en el
htpatch.exe, al lado no pone nada...(pone Usuario,en procesos)... Aqui te
pongo lo q sale en el Hijackthis,el log:

Logfile of HijackThis v1.99.1
Scan saved at 16:20:48, on 24/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIV~1\NORTON~1avapw32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Norton AntiVirusavapsvc.exe
C:\WINDOWS\system32vsvc32.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security
Center\SymWSC.exe
C:\Documents and Settings\Usuario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.terra.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://go.microsoft.com/fwlink/?LinkId"028
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos
de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1avapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de
programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de
programa\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN
Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Download with &DAP -
C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP -
C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de
programa\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
http://tools.ebayimg.com/eps/wl/act...0-3-24.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/active...asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/m...loader.cab
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) -
Symantec Corporation - C:\Archivos de programa\Norton AntiVirusavapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32vsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Archivos de programa\Archivos comunes\Symantec
Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos
de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe


ESTO PONE, NO SE SI SABRAS INTERPRETARO, ESPERO Q SI, PORQUE SI SE BORRA
ALGO QUE ES BUENO, SE FASTIDIA ESE PROGRAMA E INCLUSO EL ORDENADOR, O SEA Q
ACIERTA POR FAVOR :)
TE ESCRIBO EN MAYUSCULAS PARA DIFERENCIAR
SALUDOS Y AYUDAME Y SINO LO TIENES CLARO CONSULTA CON ALGUN COLEGA POR
FAVOR...QU ES TO YA ES MUY EXTRAÑO, SOLO EN 3 WEBS ME SALE, EN LAS OTRAS NO...

"José Gallardo" escribió:

Vamos a intentarlo con el Antispyware de Microsoft:
http://www.microsoft.com/athome/sec...fault.mspx
Si no se elimina, descárgate el HijackThis:
http://www.spychecker.com/program/hijackthis.html
pásalo, guarda los resultados en un archivo log y postea aquí su contenido.


"Fernando" escribió en el mensaje news:
> Nada de nada Jose, no he encontrado nada de eso.Ni en el registro ni en el
> ordenador, entonces no tengo ni idea donde puede estar...
> Eso si, los popups emergentes piratas, solo me salian en 3 hojas: de las 45
> o asi q tengo para mirar cada dia...
> En www.pesoccerworld.com, www.mocosoft.com,y en ww.adsl4ever.com, en las
> demas no em ha salido nada..Total q he borrado de favoritos esas webs, voy a
> poner el panda on line ahora y te digosigue pensando por favor...
>
> Lo de restaurar el sistema, pues la verda, no tengo ni idea de q dia me
> entro eso.por eso mismo no lo hago...
>
> Gracias y si necesitas ayuda, pregunta a tus colegas de microsoft ,por
> favor... :(
>
> "José Gallardo" escribió:
>
>> Puesto que lo que te voy a indicar es algo largo, mira a ver si puedes restaurar a un punto anterior a la infección. Si no, vamos a hacerlo manualmente:
>>
>> 1) Pulsa Ctrl+Alt+Supr y mata los procesos siguientes (lso que tengas):
>>
>> bih.exe
>> c:\cxtpls_loader.exe
>> deletelockedfiles.exe
>> espam.exe
>> holidaym.exe
>> lkmkrlj.exe
>> mm_reco.exe
>> profilepath+\local settings\temp\alchem.exe
>> profilepath+\local settings\temp\banner.exe
>> profilepath+\local settings\temp\belt.exe
>> profilepath+\local settings\temp\biprep.exe
>> profilepath+\local settings\temp\preinsbi.exe
>> profilepath+\local settings\temporary internet files\content.ie5\ot2jqp0h\bi[1].exe
>> randreco.exe
>> snkqzj[1].exe
>> susp.exe
>> systemroot+\belt.exe
>> systemroot+\bi.exe
>> systemroot+\inst\3p.exe
>> systemroot+\lastgood\biprep.exe
>> systemroot+\preinsbi.exe
>> systemroot+\temp\biprep.exe
>> thin-8-1-x-x.exe
>> thin-94-2-x-x.exe
>> thnall2c.exe
>>
>> 2) Inicio>Ejecutar y escribe "regedit" sin comillas. Navega hasta
>>
>> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
>>
>> y pincha sobre el "+". Si aparece debajo una clave llamada "belt", elimínata y reinicia WIndows.
>>
>> 3) Inicio>Ejecutar y escibe sin comillas "regsvr32 /u <nombre>", donde <nombre> es cada uno de éstos (hazlo de uno en uno):
>>
>> banner.dll
>> bh.dll
>> cleanhistories.dll
>> msg{7825467c-d5db-4708-b0bf-2943792fab60}0115.dll
>> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0112.dll
>> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0113.dll
>> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0115.dll
>> profilepath+\local settings\temp\bi.dll
>> programfilesdir+\common files\betterinternet\ssuvtmr.dll
>> programfilesdir+\common files\betterinternet\ssuvtmr6.dll
>> programfilesdir+\common files\betterinternet\utils_21.dll
>> programfilesdir+\common files\betterinternet\vbalicom6.dll
>> systemroot+\bi.dll
>> systemroot+\ceres.dll
>> systemroot+\system\bi.dll
>> systemroot+\system\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
>> systemroot+\system\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
>> systemroot+\system\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
>> systemroot+\system\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
>> systemroot+\system\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
>> systemroot+\system\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
>> systemroot+\system\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
>> systemroot+\system\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
>> systemroot+\system\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
>> systemroot+\system\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
>> systemroot+\system\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
>> systemroot+\system\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
>> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
>> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0113.dll
>> systemroot+\system32\apledit.cpy.dll
>> systemroot+\system32\bi.dll
>> systemroot+\system32\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
>> systemroot+\system32\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
>> systemroot+\system32\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
>> systemroot+\system32\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
>> systemroot+\system32\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
>> systemroot+\system32\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
>> systemroot+\system32\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
>> systemroot+\system32\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
>> systemroot+\system32\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
>> systemroot+\system32\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
>> systemroot+\system32\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
>> systemroot+\system32\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
>> systemroot+\system32\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
>> systemroot+\temp\bi.dll
>>
>> 4) Inicio>Ejecutar y escribe "regedit" sin comillas: busca y elimina estas claves:
>>
>> HKEY_CLASSES_ROOT\ceresdll.ceresdllobj
>> HKEY_CLASSES_ROOT\ceresdll.ceresdllobj.1
>> HKEY_CLASSES_ROOT\clsid\{00000000-59d4-4008-9058-080011001200}
>> HKEY_CLASSES_ROOT\clsid\{00000049-8f91-4d9c-9573-f016e7626484}
>> HKEY_CLASSES_ROOT\clsid\{000006b1-19b5-414a-849f-2a3c64ae6939}
>> HKEY_CLASSES_ROOT\clsid\{ddffa75a-e81d-4454-89fc-b9fd0631e726}
>> HKEY_CLASSES_ROOT\dlmaxdll.dlmaxdllobj
>> HKEY_CLASSES_ROOT\dlmaxdll.dlmaxdllobj.1
>> HKEY_CLASSES_ROOT\interface\{bb0d5adc-028d-4185-9288-722ddce2c757}
>> HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{000006b1-19b5-414a-849f-2a3c64ae6939}
>> HKEY_CLASSES_ROOT\typelib\{230c3786-1c2c-45bd-9d2d-9d277fce6289}
>> HKEY_CLASSES_ROOT\typelib\{92daf5c1-2135-4e0c-b7a0-259abfcd3904}
>> HKEY_CURRENT_USER\software\ceres
>> HKEY_CURRENT_USER\software\dlmax
>> HKEY_LOCAL_MACHINE\software\classes\clsid\{ddffa75a-e81d-4454-89fc-b9fd0631e726}
>> HKEY_LOCAL_MACHINE\software\dbi
>> HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{30000273-8230-4dd4-be4f-6889d1e74167}
>> HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogonotify\guardian
>> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{000006b1-19b5-414a-849f-2a3c64ae6939}
>> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/winnt/kmg14100.exe\.owner
>> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/winnt/kmg14100.exe\{30000273-8230-4dd4-be4f-6889d1e74167}
>> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\belt
>> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shell extensions\approved\{ddffa75a-e81d-4454-89fc-b9fd0631e726}
>> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\dbi
>> HKEY_LOCAL_MACHINE\software\twaintec
>>
>> 5) Busca y elimina estos archivos:
>>
>> abetterinternet.txt
>> alchem.ini
>> banner.dll
>> bh.dll
>> bih.exe
>> bih.inf
>> c:\cxtpls_loader.exe
>> cleanhistories.dll
>> commonprograms+etturbo.lnk
>> deletelockedfiles.exe
>> espam.exe
>> holidaym.exe
>> lkmkrlj.exe
>> mm_reco.exe
>> msg{7825467c-d5db-4708-b0bf-2943792fab60}0115.dll
>> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0112.dll
>> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0113.dll
>> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0115.dll
>> profilepath+\local settings\temp\alchem.exe
>> profilepath+\local settings\temp\banner.exe
>> profilepath+\local settings\temp\belt.exe
>> profilepath+\local settings\temp\bi.dll
>> profilepath+\local settings\temp\bi.inf
>> profilepath+\local settings\temp\bi.ini
>> profilepath+\local settings\temp\biini.inf
>> profilepath+\local settings\temp\biprep.exe
>> profilepath+\local settings\temp\preinsbi.exe
>> profilepath+\local settings\temporary internet files\content.ie5\ot2jqp0h\bi[1].exe
>> programfilesdir+\common files\betterinternet\ssuvtmr.dll
>> programfilesdir+\common files\betterinternet\ssuvtmr6.dll
>> programfilesdir+\common files\betterinternet\utils_21.dll
>> programfilesdir+\common files\betterinternet\vbalicom6.dll
>> randreco.exe
>> snkqzj[1].exe
>> startupfolder+\cliptrakker.lnk
>> startupfolder+\controller.lnk
>> startupfolder+etturbo.lnk
>> susp.exe
>> susp.inf
>> susp.ini
>> systemroot+\belt.exe
>> systemroot+\bi.dll
>> systemroot+\bi.exe
>> systemroot+\bi.ini
>> systemroot+\ceres.dll
>> systemroot+\downloaded program files\payload2.inf
>> systemroot+\inf\bi.inf
>> systemroot+\inf\ceres.inf
>> systemroot+\inf\dlmax.inf
>> systemroot+\inst\3p.exe
>> systemroot+\jkffegom.ini
>> systemroot+\lastgood\biprep.exe
>> systemroot+\preinsbi.exe
>> systemroot+\system\bi.dll
>> systemroot+\system\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
>> systemroot+\system\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
>> systemroot+\system\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
>> systemroot+\system\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
>> systemroot+\system\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
>> systemroot+\system\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
>> systemroot+\system\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
>> systemroot+\system\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
>> systemroot+\system\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
>> systemroot+\system\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
>> systemroot+\system\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
>> systemroot+\system\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
>> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
>> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0113.dll
>> systemroot+\system32\apledit.cpy.dll
>> systemroot+\system32\bi.dll
>> systemroot+\system32\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
>> systemroot+\system32\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
>> systemroot+\system32\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
>> systemroot+\system32\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
>> systemroot+\system32\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
>> systemroot+\system32\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
>> systemroot+\system32\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
>> systemroot+\system32\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
>> systemroot+\system32\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
>> systemroot+\system32\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
>> systemroot+\system32\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
>> systemroot+\system32\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
>> systemroot+\system32\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
>> systemroot+\temp\bi.dll
>> systemroot+\temp\bi.ini
>> systemroot+\temp\biprep.exe
>> thin-8-1-x-x.exe
>> thin-94-2-x-x.exe
>> thnall2c.exe
>>
>> 6) Busca y elimina estos directorios:
>>
>> favorites+\sites about
>> programfilesdir+\common files\betterinternet
>> programfilesdir+etturbotrial
>>
>> "Fernando" escribió en el mensaje news:
>> > Nada de nada Jose, lo he pasado mil veces y lo unico que hace es borrarme
>> > ,porque borro todo los critical objects y negligibles, el historial que tengo
>> > guardado en la barra de herramientas, solo me queda la de terra que es la
>> > hoja principal, lo de favoritos menos mal que no lo toca pq sino otra vez a
>> > meter todo.
>> > He pasado el ad-aware SE , el microsoft antispyware, el antivirus me da
>> > negativo ( perfecto) ,no hay troyanos, ( the cleaner), solo me queda probar
>> > con el spy and bot 1.3...
>> > Mira el archivo que te dije , HTPACTH.EXE en la carpeta de Windows, no me
>> > suena de nada y esta en procesos y con un icono de codigo de barras q no me
>> > suena de nada, y en el registro en teoria solo salen
>> > c:/windows/system32/lo q sea, pues este no lleva el system32, solo
>> > windows y resulta sospechoso, NO SE SI QUITARLO A MANOy probar...
>> > ¿Tu que harias? porque me canso q me salgan paginas de telefonia, casinos,
>> > comidas, industrias, etc
>> > Ademas otra cosa, con este spyware BetterInet, ¿Puede darse el caso de que
>> > me salgan iconos en la pantalla a raudales, un monton de casino, sex, etc...
>> > o solo pasa eso con la barra de buscar, ej: toolbar google, etc...???
>> > Si lo dejo, pasaria algo mas malo aun, porque de moneto me deja jugar y
>> > hacer ofimatica, solo es dar al aspa y se van las ventanas emergentes...
>> >
>> > Ayudadme por favor
>> >
>> > "José Gallardo" escribió:
>> >
>> >> Pásale el Ad-aware SE de www.lavasoftusa.com
>> >>
>> >> "Fernando" escribió en el mensaje news:
>> >> > Pues eso, al hacer el repaso con el panda porque me salia una ventana rara
>> >> > sobre telefonia en cada web que entraba y eso q tengo el SP2 ,vaya
>> >> > firewall.
>> >> > Me ha salido que tenia este malware/spyware/BetterInet ..¿como lo quito?
>> >> > Ya lo tuve una vez y se fue, hace unos 15 dias..
>> >> > Otra cosa, se me ha puesto en procesos un archivo muy raro que no me suena
>> >> > de nada, y esta en la carpeta de windows, se llama HTPACTH.EXE y su icono es
>> >> > un codigo de barras, ocupa 28kb, y si le doy porque es una aplicacion se va
>> >> > poniendo en procesos tantas veces como le doy, si le doy 3 veces a ese
>> >> > archivo, salen en procesos 3 veces el HTPACTH.EXE...con icono de codigo de
>> >> > barras... ¿Igual es eso?
>> >> > Porque no me suena de nada, ademas sale en lo de RUN, en el registro
>> >> >
>> >> > Ayuda... gracias amigos...
>> >> >
>> >>
>>

Respuesta Responder a este mensaje
#7 Fernando
24/04/2005 - 21:50 | Informe spam
Otra cosa, ahora me he quedado a huevo, es decir, sin ideas, estoy pasando
por pasar el the cleaner y me han salido 3 troyanos , no creo q salgan
masme pone la ruta c:\archivos de programa\DAP\son estos 3:
DAPBHO.DLL
DAPEXTIE.HTM
DAPEXTIE2.HTM

Pero lo bueno es q miro en la carpeta y esos archivos no estan, ni tampoco
estan ocultos que tambien he mirado, ¿Pues donde estan? ¿En el registro? A
ver si son el causante del spyware BetterInet
No se , tu diras, por favor , dimelo pronto, pq me estoy volviendo loco de
atar

Saludos... por cierto, el programa me los ha puesto en cuarentena, los puedo
borrar??o los dejo en cuarentena q no molestaran?
Gracias :(


"Fernando" escribió:

Nada de nada, el Microsoft Antispyware tampoco ha podido con él, me ha
revisado el registro, las claves, todo, y me sale que 0 items ( rarisimo )
He pasado el Hijackthis y te pongo los resultados como me dijiste: ( una
cosa, hay un proceso q no sale , esta en windows/system32/alg.exe y pone q es
de SERVICIO LOCAL, pero las siglas alg: application layer gateway service,
eso me pone con el programa que tengo , el : Process Explorer...y en el
htpatch.exe, al lado no pone nada...(pone Usuario,en procesos)... Aqui te
pongo lo q sale en el Hijackthis,el log:

Logfile of HijackThis v1.99.1
Scan saved at 16:20:48, on 24/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIV~1\NORTON~1avapw32.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Norton AntiVirusavapsvc.exe
C:\WINDOWS\system32vsvc32.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security
Center\SymWSC.exe
C:\Documents and Settings\Usuario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.terra.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
http://go.microsoft.com/fwlink/?LinkId"028
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos
de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1avapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de
programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de
programa\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN
Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Download with &DAP -
C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP -
C:\ARCHIV~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel -
res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de
programa\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
http://tools.ebayimg.com/eps/wl/act...0-3-24.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/active...asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/m...loader.cab
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) -
Symantec Corporation - C:\Archivos de programa\Norton AntiVirusavapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32vsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:\Archivos de programa\Archivos comunes\Symantec
Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos
de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe


ESTO PONE, NO SE SI SABRAS INTERPRETARO, ESPERO Q SI, PORQUE SI SE BORRA
ALGO QUE ES BUENO, SE FASTIDIA ESE PROGRAMA E INCLUSO EL ORDENADOR, O SEA Q
ACIERTA POR FAVOR :)
TE ESCRIBO EN MAYUSCULAS PARA DIFERENCIAR
SALUDOS Y AYUDAME Y SINO LO TIENES CLARO CONSULTA CON ALGUN COLEGA POR
FAVOR...QU ES TO YA ES MUY EXTRAÑO, SOLO EN 3 WEBS ME SALE, EN LAS OTRAS NO...

"José Gallardo" escribió:

> Vamos a intentarlo con el Antispyware de Microsoft:
> http://www.microsoft.com/athome/sec...fault.mspx
> Si no se elimina, descárgate el HijackThis:
> http://www.spychecker.com/program/hijackthis.html
> pásalo, guarda los resultados en un archivo log y postea aquí su contenido.
>
>
> "Fernando" escribió en el mensaje news:
> > Nada de nada Jose, no he encontrado nada de eso.Ni en el registro ni en el
> > ordenador, entonces no tengo ni idea donde puede estar...
> > Eso si, los popups emergentes piratas, solo me salian en 3 hojas: de las 45
> > o asi q tengo para mirar cada dia...
> > En www.pesoccerworld.com, www.mocosoft.com,y en ww.adsl4ever.com, en las
> > demas no em ha salido nada..Total q he borrado de favoritos esas webs, voy a
> > poner el panda on line ahora y te digosigue pensando por favor...
> >
> > Lo de restaurar el sistema, pues la verda, no tengo ni idea de q dia me
> > entro eso.por eso mismo no lo hago...
> >
> > Gracias y si necesitas ayuda, pregunta a tus colegas de microsoft ,por
> > favor... :(
> >
> > "José Gallardo" escribió:
> >
> >> Puesto que lo que te voy a indicar es algo largo, mira a ver si puedes restaurar a un punto anterior a la infección. Si no, vamos a hacerlo manualmente:
> >>
> >> 1) Pulsa Ctrl+Alt+Supr y mata los procesos siguientes (lso que tengas):
> >>
> >> bih.exe
> >> c:\cxtpls_loader.exe
> >> deletelockedfiles.exe
> >> espam.exe
> >> holidaym.exe
> >> lkmkrlj.exe
> >> mm_reco.exe
> >> profilepath+\local settings\temp\alchem.exe
> >> profilepath+\local settings\temp\banner.exe
> >> profilepath+\local settings\temp\belt.exe
> >> profilepath+\local settings\temp\biprep.exe
> >> profilepath+\local settings\temp\preinsbi.exe
> >> profilepath+\local settings\temporary internet files\content.ie5\ot2jqp0h\bi[1].exe
> >> randreco.exe
> >> snkqzj[1].exe
> >> susp.exe
> >> systemroot+\belt.exe
> >> systemroot+\bi.exe
> >> systemroot+\inst\3p.exe
> >> systemroot+\lastgood\biprep.exe
> >> systemroot+\preinsbi.exe
> >> systemroot+\temp\biprep.exe
> >> thin-8-1-x-x.exe
> >> thin-94-2-x-x.exe
> >> thnall2c.exe
> >>
> >> 2) Inicio>Ejecutar y escribe "regedit" sin comillas. Navega hasta
> >>
> >> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
> >>
> >> y pincha sobre el "+". Si aparece debajo una clave llamada "belt", elimínata y reinicia WIndows.
> >>
> >> 3) Inicio>Ejecutar y escibe sin comillas "regsvr32 /u <nombre>", donde <nombre> es cada uno de éstos (hazlo de uno en uno):
> >>
> >> banner.dll
> >> bh.dll
> >> cleanhistories.dll
> >> msg{7825467c-d5db-4708-b0bf-2943792fab60}0115.dll
> >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0112.dll
> >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0113.dll
> >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0115.dll
> >> profilepath+\local settings\temp\bi.dll
> >> programfilesdir+\common files\betterinternet\ssuvtmr.dll
> >> programfilesdir+\common files\betterinternet\ssuvtmr6.dll
> >> programfilesdir+\common files\betterinternet\utils_21.dll
> >> programfilesdir+\common files\betterinternet\vbalicom6.dll
> >> systemroot+\bi.dll
> >> systemroot+\ceres.dll
> >> systemroot+\system\bi.dll
> >> systemroot+\system\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
> >> systemroot+\system\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
> >> systemroot+\system\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
> >> systemroot+\system\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
> >> systemroot+\system\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
> >> systemroot+\system\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
> >> systemroot+\system\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
> >> systemroot+\system\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
> >> systemroot+\system\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
> >> systemroot+\system\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
> >> systemroot+\system\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
> >> systemroot+\system\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
> >> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
> >> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0113.dll
> >> systemroot+\system32\apledit.cpy.dll
> >> systemroot+\system32\bi.dll
> >> systemroot+\system32\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
> >> systemroot+\system32\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
> >> systemroot+\system32\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
> >> systemroot+\system32\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
> >> systemroot+\system32\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
> >> systemroot+\system32\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
> >> systemroot+\system32\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
> >> systemroot+\system32\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
> >> systemroot+\system32\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
> >> systemroot+\system32\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
> >> systemroot+\system32\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
> >> systemroot+\system32\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
> >> systemroot+\system32\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
> >> systemroot+\temp\bi.dll
> >>
> >> 4) Inicio>Ejecutar y escribe "regedit" sin comillas: busca y elimina estas claves:
> >>
> >> HKEY_CLASSES_ROOT\ceresdll.ceresdllobj
> >> HKEY_CLASSES_ROOT\ceresdll.ceresdllobj.1
> >> HKEY_CLASSES_ROOT\clsid\{00000000-59d4-4008-9058-080011001200}
> >> HKEY_CLASSES_ROOT\clsid\{00000049-8f91-4d9c-9573-f016e7626484}
> >> HKEY_CLASSES_ROOT\clsid\{000006b1-19b5-414a-849f-2a3c64ae6939}
> >> HKEY_CLASSES_ROOT\clsid\{ddffa75a-e81d-4454-89fc-b9fd0631e726}
> >> HKEY_CLASSES_ROOT\dlmaxdll.dlmaxdllobj
> >> HKEY_CLASSES_ROOT\dlmaxdll.dlmaxdllobj.1
> >> HKEY_CLASSES_ROOT\interface\{bb0d5adc-028d-4185-9288-722ddce2c757}
> >> HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{000006b1-19b5-414a-849f-2a3c64ae6939}
> >> HKEY_CLASSES_ROOT\typelib\{230c3786-1c2c-45bd-9d2d-9d277fce6289}
> >> HKEY_CLASSES_ROOT\typelib\{92daf5c1-2135-4e0c-b7a0-259abfcd3904}
> >> HKEY_CURRENT_USER\software\ceres
> >> HKEY_CURRENT_USER\software\dlmax
> >> HKEY_LOCAL_MACHINE\software\classes\clsid\{ddffa75a-e81d-4454-89fc-b9fd0631e726}
> >> HKEY_LOCAL_MACHINE\software\dbi
> >> HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{30000273-8230-4dd4-be4f-6889d1e74167}
> >> HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogonotify\guardian
> >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{000006b1-19b5-414a-849f-2a3c64ae6939}
> >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/winnt/kmg14100.exe\.owner
> >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/winnt/kmg14100.exe\{30000273-8230-4dd4-be4f-6889d1e74167}
> >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\belt
> >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shell extensions\approved\{ddffa75a-e81d-4454-89fc-b9fd0631e726}
> >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\dbi
> >> HKEY_LOCAL_MACHINE\software\twaintec
> >>
> >> 5) Busca y elimina estos archivos:
> >>
> >> abetterinternet.txt
> >> alchem.ini
> >> banner.dll
> >> bh.dll
> >> bih.exe
> >> bih.inf
> >> c:\cxtpls_loader.exe
> >> cleanhistories.dll
> >> commonprograms+etturbo.lnk
> >> deletelockedfiles.exe
> >> espam.exe
> >> holidaym.exe
> >> lkmkrlj.exe
> >> mm_reco.exe
> >> msg{7825467c-d5db-4708-b0bf-2943792fab60}0115.dll
> >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0112.dll
> >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0113.dll
> >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0115.dll
> >> profilepath+\local settings\temp\alchem.exe
> >> profilepath+\local settings\temp\banner.exe
> >> profilepath+\local settings\temp\belt.exe
> >> profilepath+\local settings\temp\bi.dll
> >> profilepath+\local settings\temp\bi.inf
> >> profilepath+\local settings\temp\bi.ini
> >> profilepath+\local settings\temp\biini.inf
> >> profilepath+\local settings\temp\biprep.exe
> >> profilepath+\local settings\temp\preinsbi.exe
> >> profilepath+\local settings\temporary internet files\content.ie5\ot2jqp0h\bi[1].exe
> >> programfilesdir+\common files\betterinternet\ssuvtmr.dll
> >> programfilesdir+\common files\betterinternet\ssuvtmr6.dll
> >> programfilesdir+\common files\betterinternet\utils_21.dll
> >> programfilesdir+\common files\betterinternet\vbalicom6.dll
> >> randreco.exe
> >> snkqzj[1].exe
> >> startupfolder+\cliptrakker.lnk
> >> startupfolder+\controller.lnk
> >> startupfolder+etturbo.lnk
> >> susp.exe
> >> susp.inf
> >> susp.ini
> >> systemroot+\belt.exe
> >> systemroot+\bi.dll
> >> systemroot+\bi.exe
> >> systemroot+\bi.ini
> >> systemroot+\ceres.dll
> >> systemroot+\downloaded program files\payload2.inf
> >> systemroot+\inf\bi.inf
> >> systemroot+\inf\ceres.inf
> >> systemroot+\inf\dlmax.inf
> >> systemroot+\inst\3p.exe
> >> systemroot+\jkffegom.ini
> >> systemroot+\lastgood\biprep.exe
> >> systemroot+\preinsbi.exe
> >> systemroot+\system\bi.dll
> >> systemroot+\system\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
> >> systemroot+\system\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
> >> systemroot+\system\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
> >> systemroot+\system\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
> >> systemroot+\system\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
> >> systemroot+\system\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
> >> systemroot+\system\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
> >> systemroot+\system\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
> >> systemroot+\system\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
> >> systemroot+\system\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
> >> systemroot+\system\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
> >> systemroot+\system\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
> >> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
> >> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0113.dll
> >> systemroot+\system32\apledit.cpy.dll
> >> systemroot+\system32\bi.dll
> >> systemroot+\system32\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
> >> systemroot+\system32\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
> >> systemroot+\system32\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
> >> systemroot+\system32\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
> >> systemroot+\system32\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
> >> systemroot+\system32\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
> >> systemroot+\system32\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
> >> systemroot+\system32\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
> >> systemroot+\system32\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
> >> systemroot+\system32\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
> >> systemroot+\system32\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
> >> systemroot+\system32\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
> >> systemroot+\system32\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
> >> systemroot+\temp\bi.dll
> >> systemroot+\temp\bi.ini
> >> systemroot+\temp\biprep.exe
> >> thin-8-1-x-x.exe
> >> thin-94-2-x-x.exe
> >> thnall2c.exe
> >>
> >> 6) Busca y elimina estos directorios:
> >>
> >> favorites+\sites about
> >> programfilesdir+\common files\betterinternet
> >> programfilesdir+etturbotrial
> >>
> >> "Fernando" escribió en el mensaje news:
> >> > Nada de nada Jose, lo he pasado mil veces y lo unico que hace es borrarme
> >> > ,porque borro todo los critical objects y negligibles, el historial que tengo
> >> > guardado en la barra de herramientas, solo me queda la de terra que es la
> >> > hoja principal, lo de favoritos menos mal que no lo toca pq sino otra vez a
> >> > meter todo.
> >> > He pasado el ad-aware SE , el microsoft antispyware, el antivirus me da
> >> > negativo ( perfecto) ,no hay troyanos, ( the cleaner), solo me queda probar
> >> > con el spy and bot 1.3...
> >> > Mira el archivo que te dije , HTPACTH.EXE en la carpeta de Windows, no me
> >> > suena de nada y esta en procesos y con un icono de codigo de barras q no me
> >> > suena de nada, y en el registro en teoria solo salen
> >> > c:/windows/system32/lo q sea, pues este no lleva el system32, solo
> >> > windows y resulta sospechoso, NO SE SI QUITARLO A MANOy probar...
> >> > ¿Tu que harias? porque me canso q me salgan paginas de telefonia, casinos,
> >> > comidas, industrias, etc
> >> > Ademas otra cosa, con este spyware BetterInet, ¿Puede darse el caso de que
> >> > me salgan iconos en la pantalla a raudales, un monton de casino, sex, etc...
> >> > o solo pasa eso con la barra de buscar, ej: toolbar google, etc...???
> >> > Si lo dejo, pasaria algo mas malo aun, porque de moneto me deja jugar y
> >> > hacer ofimatica, solo es dar al aspa y se van las ventanas emergentes...
> >> >
> >> > Ayudadme por favor
> >> >
> >> > "José Gallardo" escribió:
> >> >
> >> >> Pásale el Ad-aware SE de www.lavasoftusa.com
> >> >>
> >> >> "Fernando" escribió en el mensaje news:
> >> >> > Pues eso, al hacer el repaso con el panda porque me salia una ventana rara
> >> >> > sobre telefonia en cada web que entraba y eso q tengo el SP2 ,vaya
> >> >> > firewall.
> >> >> > Me ha salido que tenia este malware/spyware/BetterInet ..¿como lo quito?
> >> >> > Ya lo tuve una vez y se fue, hace unos 15 dias..
> >> >> > Otra cosa, se me ha puesto en procesos un archivo muy raro que no me suena
> >> >> > de nada, y esta en la carpeta de windows, se llama HTPACTH.EXE y su icono es
> >> >> > un codigo de barras, ocupa 28kb, y si le doy porque es una aplicacion se va
> >> >> > poniendo en procesos tantas veces como le doy, si le doy 3 veces a ese
> >> >> > archivo, salen en procesos 3 veces el HTPACTH.EXE...con icono de codigo de
> >> >> > barras... ¿Igual es eso?
> >> >> > Porque no me suena de nada, ademas sale en lo de RUN, en el registro
> >> >> >
> >> >> > Ayuda... gracias amigos...
> >> >> >
> >> >>
> >>
>
Respuesta Responder a este mensaje
#8 Fernando
25/04/2005 - 01:40 | Informe spam
Hola, te doy mas informacion, en otro foro, me han comentado que pasara el
FIXBINET, y asi se eliminaria el adware BetterInternet, pero lo mio es
spyware,no adware,¿Serviria igual? Te lo digo, pq lo he pasado y se ha pegado
unos 20 minutos, ha mirado todo y me ha dicho que NO HA ENCONTRADO EL
BETTERINTERNET EN MY COMPUTER.ya me estoy cansando pq esto creo q es
cachondeo del ordenador... ahora en la pagina que me salia,la de futbol, ya
no me sale, no me sale en ninguna, pero coñe, paso el panda on line y me pone
q tengo una infeccion en el registro, ¿Seran esos 3 archivos o troyanos y los
tendre q borrar del The Cleaner (estan en cuarentena), y luego borrarlos del
registro y reiniciar, a ver pasa??

Gracias y dime o decidme algo por favor...

"Fernando" escribió:

Otra cosa, ahora me he quedado a huevo, es decir, sin ideas, estoy pasando
por pasar el the cleaner y me han salido 3 troyanos , no creo q salgan
masme pone la ruta c:\archivos de programa\DAP\son estos 3:
DAPBHO.DLL
DAPEXTIE.HTM
DAPEXTIE2.HTM

Pero lo bueno es q miro en la carpeta y esos archivos no estan, ni tampoco
estan ocultos que tambien he mirado, ¿Pues donde estan? ¿En el registro? A
ver si son el causante del spyware BetterInet
No se , tu diras, por favor , dimelo pronto, pq me estoy volviendo loco de
atar

Saludos... por cierto, el programa me los ha puesto en cuarentena, los puedo
borrar??o los dejo en cuarentena q no molestaran?
Gracias :(


"Fernando" escribió:

> Nada de nada, el Microsoft Antispyware tampoco ha podido con él, me ha
> revisado el registro, las claves, todo, y me sale que 0 items ( rarisimo )
> He pasado el Hijackthis y te pongo los resultados como me dijiste: ( una
> cosa, hay un proceso q no sale , esta en windows/system32/alg.exe y pone q es
> de SERVICIO LOCAL, pero las siglas alg: application layer gateway service,
> eso me pone con el programa que tengo , el : Process Explorer...y en el
> htpatch.exe, al lado no pone nada...(pone Usuario,en procesos)... Aqui te
> pongo lo q sale en el Hijackthis,el log:
>
> Logfile of HijackThis v1.99.1
> Scan saved at 16:20:48, on 24/04/2005
> Platform: Windows XP SP2 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
>
> Running processes:
> C:\WINDOWS\System32\smss.exe
> C:\WINDOWS\system32\winlogon.exe
> C:\WINDOWS\system32\services.exe
> C:\WINDOWS\system32\lsass.exe
> C:\WINDOWS\system32\svchost.exe
> C:\WINDOWS\System32\svchost.exe
> C:\WINDOWS\Explorer.EXE
> C:\WINDOWS\system32\spoolsv.exe
> C:\WINDOWS\htpatch.exe
> C:\WINDOWS\SOUNDMAN.EXE
> C:\ARCHIV~1\NORTON~1avapw32.exe
> C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
> C:\WINDOWS\system32\ctfmon.exe
> C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
> C:\Archivos de programa\Norton AntiVirusavapsvc.exe
> C:\WINDOWS\system32vsvc32.exe
> C:\Archivos de programa\Archivos comunes\Symantec Shared\Security
> Center\SymWSC.exe
> C:\Documents and Settings\Usuario\Escritorio\HijackThis.exe
>
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
> http://www.terra.es/
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
> R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
> R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
> http://go.microsoft.com/fwlink/?LinkId"028
> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
> Vínculos
> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
> C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
> O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
> O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos
> de programa\Norton AntiVirus\NavShExt.dll
> O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
> C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
> O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
> C:\WINDOWS\system32\NvCpl.dll,NvStartup
> O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
> O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
> O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
> O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
> O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1avapw32.exe
> O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe
> O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de
> programa\CyberLink\PowerDVD\PDVDServ.exe"
> O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de
> programa\SlySoft\CloneCD\CloneCDTray.exe" /s
> O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
> C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
> O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
> O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN
> Messenger\MsnMsgr.Exe" /background
> O8 - Extra context menu item: &Download with &DAP -
> C:\ARCHIV~1\DAP\dapextie.htm
> O8 - Extra context menu item: Download &all with DAP -
> C:\ARCHIV~1\DAP\dapextie2.htm
> O8 - Extra context menu item: E&xportar a Microsoft Excel -
> res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
> O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
> C:\Archivos de programa\Messenger\msmsgs.exe
> O9 - Extra 'Tools' menuitem: Windows Messenger -
> {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de
> programa\Messenger\msmsgs.exe
> O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
> http://tools.ebayimg.com/eps/wl/act...0-3-24.cab
> O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
> Class) - http://www.pandasoftware.com/active...asinst.cab
> O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
> (MsnMessengerSetupDownloadControl Class) -
> http://messenger.msn.com/download/m...loader.cab
> O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) -
> Symantec Corporation - C:\Archivos de programa\Norton AntiVirusavapsvc.exe
> O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
> C:\WINDOWS\system32vsvc32.exe
> O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
> C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
> O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
> Corporation - C:\Archivos de programa\Archivos comunes\Symantec
> Shared\SNDSrvc.exe
> O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos
> de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
>
>
> ESTO PONE, NO SE SI SABRAS INTERPRETARO, ESPERO Q SI, PORQUE SI SE BORRA
> ALGO QUE ES BUENO, SE FASTIDIA ESE PROGRAMA E INCLUSO EL ORDENADOR, O SEA Q
> ACIERTA POR FAVOR :)
> TE ESCRIBO EN MAYUSCULAS PARA DIFERENCIAR
> SALUDOS Y AYUDAME Y SINO LO TIENES CLARO CONSULTA CON ALGUN COLEGA POR
> FAVOR...QU ES TO YA ES MUY EXTRAÑO, SOLO EN 3 WEBS ME SALE, EN LAS OTRAS NO...
>
> "José Gallardo" escribió:
>
> > Vamos a intentarlo con el Antispyware de Microsoft:
> > http://www.microsoft.com/athome/sec...fault.mspx
> > Si no se elimina, descárgate el HijackThis:
> > http://www.spychecker.com/program/hijackthis.html
> > pásalo, guarda los resultados en un archivo log y postea aquí su contenido.
> >
> >
> > "Fernando" escribió en el mensaje news:
> > > Nada de nada Jose, no he encontrado nada de eso.Ni en el registro ni en el
> > > ordenador, entonces no tengo ni idea donde puede estar...
> > > Eso si, los popups emergentes piratas, solo me salian en 3 hojas: de las 45
> > > o asi q tengo para mirar cada dia...
> > > En www.pesoccerworld.com, www.mocosoft.com,y en ww.adsl4ever.com, en las
> > > demas no em ha salido nada..Total q he borrado de favoritos esas webs, voy a
> > > poner el panda on line ahora y te digosigue pensando por favor...
> > >
> > > Lo de restaurar el sistema, pues la verda, no tengo ni idea de q dia me
> > > entro eso.por eso mismo no lo hago...
> > >
> > > Gracias y si necesitas ayuda, pregunta a tus colegas de microsoft ,por
> > > favor... :(
> > >
> > > "José Gallardo" escribió:
> > >
> > >> Puesto que lo que te voy a indicar es algo largo, mira a ver si puedes restaurar a un punto anterior a la infección. Si no, vamos a hacerlo manualmente:
> > >>
> > >> 1) Pulsa Ctrl+Alt+Supr y mata los procesos siguientes (lso que tengas):
> > >>
> > >> bih.exe
> > >> c:\cxtpls_loader.exe
> > >> deletelockedfiles.exe
> > >> espam.exe
> > >> holidaym.exe
> > >> lkmkrlj.exe
> > >> mm_reco.exe
> > >> profilepath+\local settings\temp\alchem.exe
> > >> profilepath+\local settings\temp\banner.exe
> > >> profilepath+\local settings\temp\belt.exe
> > >> profilepath+\local settings\temp\biprep.exe
> > >> profilepath+\local settings\temp\preinsbi.exe
> > >> profilepath+\local settings\temporary internet files\content.ie5\ot2jqp0h\bi[1].exe
> > >> randreco.exe
> > >> snkqzj[1].exe
> > >> susp.exe
> > >> systemroot+\belt.exe
> > >> systemroot+\bi.exe
> > >> systemroot+\inst\3p.exe
> > >> systemroot+\lastgood\biprep.exe
> > >> systemroot+\preinsbi.exe
> > >> systemroot+\temp\biprep.exe
> > >> thin-8-1-x-x.exe
> > >> thin-94-2-x-x.exe
> > >> thnall2c.exe
> > >>
> > >> 2) Inicio>Ejecutar y escribe "regedit" sin comillas. Navega hasta
> > >>
> > >> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
> > >>
> > >> y pincha sobre el "+". Si aparece debajo una clave llamada "belt", elimínata y reinicia WIndows.
> > >>
> > >> 3) Inicio>Ejecutar y escibe sin comillas "regsvr32 /u <nombre>", donde <nombre> es cada uno de éstos (hazlo de uno en uno):
> > >>
> > >> banner.dll
> > >> bh.dll
> > >> cleanhistories.dll
> > >> msg{7825467c-d5db-4708-b0bf-2943792fab60}0115.dll
> > >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0112.dll
> > >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0113.dll
> > >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0115.dll
> > >> profilepath+\local settings\temp\bi.dll
> > >> programfilesdir+\common files\betterinternet\ssuvtmr.dll
> > >> programfilesdir+\common files\betterinternet\ssuvtmr6.dll
> > >> programfilesdir+\common files\betterinternet\utils_21.dll
> > >> programfilesdir+\common files\betterinternet\vbalicom6.dll
> > >> systemroot+\bi.dll
> > >> systemroot+\ceres.dll
> > >> systemroot+\system\bi.dll
> > >> systemroot+\system\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
> > >> systemroot+\system\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
> > >> systemroot+\system\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
> > >> systemroot+\system\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
> > >> systemroot+\system\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
> > >> systemroot+\system\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
> > >> systemroot+\system\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
> > >> systemroot+\system\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
> > >> systemroot+\system\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
> > >> systemroot+\system\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
> > >> systemroot+\system\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
> > >> systemroot+\system\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
> > >> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
> > >> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0113.dll
> > >> systemroot+\system32\apledit.cpy.dll
> > >> systemroot+\system32\bi.dll
> > >> systemroot+\system32\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
> > >> systemroot+\system32\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
> > >> systemroot+\system32\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
> > >> systemroot+\system32\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
> > >> systemroot+\system32\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
> > >> systemroot+\system32\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
> > >> systemroot+\system32\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
> > >> systemroot+\system32\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
> > >> systemroot+\system32\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
> > >> systemroot+\system32\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
> > >> systemroot+\system32\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
> > >> systemroot+\system32\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
> > >> systemroot+\system32\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
> > >> systemroot+\temp\bi.dll
> > >>
> > >> 4) Inicio>Ejecutar y escribe "regedit" sin comillas: busca y elimina estas claves:
> > >>
> > >> HKEY_CLASSES_ROOT\ceresdll.ceresdllobj
> > >> HKEY_CLASSES_ROOT\ceresdll.ceresdllobj.1
> > >> HKEY_CLASSES_ROOT\clsid\{00000000-59d4-4008-9058-080011001200}
> > >> HKEY_CLASSES_ROOT\clsid\{00000049-8f91-4d9c-9573-f016e7626484}
> > >> HKEY_CLASSES_ROOT\clsid\{000006b1-19b5-414a-849f-2a3c64ae6939}
> > >> HKEY_CLASSES_ROOT\clsid\{ddffa75a-e81d-4454-89fc-b9fd0631e726}
> > >> HKEY_CLASSES_ROOT\dlmaxdll.dlmaxdllobj
> > >> HKEY_CLASSES_ROOT\dlmaxdll.dlmaxdllobj.1
> > >> HKEY_CLASSES_ROOT\interface\{bb0d5adc-028d-4185-9288-722ddce2c757}
> > >> HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{000006b1-19b5-414a-849f-2a3c64ae6939}
> > >> HKEY_CLASSES_ROOT\typelib\{230c3786-1c2c-45bd-9d2d-9d277fce6289}
> > >> HKEY_CLASSES_ROOT\typelib\{92daf5c1-2135-4e0c-b7a0-259abfcd3904}
> > >> HKEY_CURRENT_USER\software\ceres
> > >> HKEY_CURRENT_USER\software\dlmax
> > >> HKEY_LOCAL_MACHINE\software\classes\clsid\{ddffa75a-e81d-4454-89fc-b9fd0631e726}
> > >> HKEY_LOCAL_MACHINE\software\dbi
> > >> HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{30000273-8230-4dd4-be4f-6889d1e74167}
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogonotify\guardian
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{000006b1-19b5-414a-849f-2a3c64ae6939}
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/winnt/kmg14100.exe\.owner
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/winnt/kmg14100.exe\{30000273-8230-4dd4-be4f-6889d1e74167}
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\belt
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shell extensions\approved\{ddffa75a-e81d-4454-89fc-b9fd0631e726}
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\dbi
> > >> HKEY_LOCAL_MACHINE\software\twaintec
> > >>
> > >> 5) Busca y elimina estos archivos:
> > >>
> > >> abetterinternet.txt
> > >> alchem.ini
> > >> banner.dll
> > >> bh.dll
> > >> bih.exe
> > >> bih.inf
> > >> c:\cxtpls_loader.exe
> > >> cleanhistories.dll
> > >> commonprograms+etturbo.lnk
> > >> deletelockedfiles.exe
> > >> espam.exe
> > >> holidaym.exe
> > >> lkmkrlj.exe
> > >> mm_reco.exe
> > >> msg{7825467c-d5db-4708-b0bf-2943792fab60}0115.dll
> > >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0112.dll
> > >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0113.dll
> > >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0115.dll
> > >> profilepath+\local settings\temp\alchem.exe
> > >> profilepath+\local settings\temp\banner.exe
> > >> profilepath+\local settings\temp\belt.exe
> > >> profilepath+\local settings\temp\bi.dll
> > >> profilepath+\local settings\temp\bi.inf
> > >> profilepath+\local settings\temp\bi.ini
> > >> profilepath+\local settings\temp\biini.inf
> > >> profilepath+\local settings\temp\biprep.exe
> > >> profilepath+\local settings\temp\preinsbi.exe
> > >> profilepath+\local settings\temporary internet files\content.ie5\ot2jqp0h\bi[1].exe
> > >> programfilesdir+\common files\betterinternet\ssuvtmr.dll
> > >> programfilesdir+\common files\betterinternet\ssuvtmr6.dll
> > >> programfilesdir+\common files\betterinternet\utils_21.dll
> > >> programfilesdir+\common files\betterinternet\vbalicom6.dll
> > >> randreco.exe
> > >> snkqzj[1].exe
> > >> startupfolder+\cliptrakker.lnk
> > >> startupfolder+\controller.lnk
> > >> startupfolder+etturbo.lnk
> > >> susp.exe
> > >> susp.inf
> > >> susp.ini
> > >> systemroot+\belt.exe
> > >> systemroot+\bi.dll
> > >> systemroot+\bi.exe
> > >> systemroot+\bi.ini
> > >> systemroot+\ceres.dll
> > >> systemroot+\downloaded program files\payload2.inf
> > >> systemroot+\inf\bi.inf
> > >> systemroot+\inf\ceres.inf
> > >> systemroot+\inf\dlmax.inf
> > >> systemroot+\inst\3p.exe
> > >> systemroot+\jkffegom.ini
> > >> systemroot+\lastgood\biprep.exe
> > >> systemroot+\preinsbi.exe
> > >> systemroot+\system\bi.dll
> > >> systemroot+\system\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
> > >> systemroot+\system\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
> > >> systemroot+\system\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
> > >> systemroot+\system\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
> > >> systemroot+\system\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
> > >> systemroot+\system\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
> > >> systemroot+\system\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
> > >> systemroot+\system\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
> > >> systemroot+\system\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
> > >> systemroot+\system\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
> > >> systemroot+\system\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
> > >> systemroot+\system\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
> > >> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
> > >> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0113.dll
> > >> systemroot+\system32\apledit.cpy.dll
> > >> systemroot+\system32\bi.dll
> > >> systemroot+\system32\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
> > >> systemroot+\system32\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
> > >> systemroot+\system32\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
> > >> systemroot+\system32\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
> > >> systemroot+\system32\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
> > >> systemroot+\system32\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
> > >> systemroot+\system32\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
> > >> systemroot+\system32\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
> > >> systemroot+\system32\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
> > >> systemroot+\system32\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
> > >> systemroot+\system32\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
> > >> systemroot+\system32\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
> > >> systemroot+\system32\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
> > >> systemroot+\temp\bi.dll
> > >> systemroot+\temp\bi.ini
> > >> systemroot+\temp\biprep.exe
> > >> thin-8-1-x-x.exe
> > >> thin-94-2-x-x.exe
> > >> thnall2c.exe
> > >>
> > >> 6) Busca y elimina estos directorios:
> > >>
> > >> favorites+\sites about
> > >> programfilesdir+\common files\betterinternet
> > >> programfilesdir+etturbotrial
> > >>
> > >> "Fernando" escribió en el mensaje news:
> > >> > Nada de nada Jose, lo he pasado mil veces y lo unico que hace es borrarme
> > >> > ,porque borro todo los critical objects y negligibles, el historial que tengo
> > >> > guardado en la barra de herramientas, solo me queda la de terra que es la
> > >> > hoja principal, lo de favoritos menos mal que no lo toca pq sino otra vez a
> > >> > meter todo.
> > >> > He pasado el ad-aware SE , el microsoft antispyware, el antivirus me da
> > >> > negativo ( perfecto) ,no hay troyanos, ( the cleaner), solo me queda probar
> > >> > con el spy and bot 1.3...
> > >> > Mira el archivo que te dije , HTPACTH.EXE en la carpeta de Windows, no me
> > >> > suena de nada y esta en procesos y con un icono de codigo de barras q no me
> > >> > suena de nada, y en el registro en teoria solo salen
> > >> > c:/windows/system32/lo q sea, pues este no lleva el system32, solo
> > >> > windows y resulta sospechoso, NO SE SI QUITARLO A MANOy probar...
> > >> > ¿Tu que harias? porque me canso q me salgan paginas de telefonia, casinos,
> > >> > comidas, industrias, etc
> > >> > Ademas otra cosa, con este spyware BetterInet, ¿Puede darse el caso de que
> > >> > me salgan iconos en la pantalla a raudales, un monton de casino, sex, etc...
> > >> > o solo pasa eso con la barra de buscar, ej: toolbar google, etc...???
> > >> > Si lo dejo, pasaria algo mas malo aun, porque de moneto me deja jugar y
> > >> > hacer ofimatica, solo es dar al aspa y se van las ventanas emergentes...
> > >> >
> > >> > Ayudadme por favor
> > >> >
> > >> > "José Gallardo" escribió:
> > >> >
> > >> >> Pásale el Ad-aware SE de www.lavasoftusa.com
> > >> >>
> > >> >> "Fernando" escribió en el mensaje news:
> > >> >> > Pues eso, al hacer el repaso con el panda porque me salia una ventana rara
> > >> >> > sobre telefonia en cada web que entraba y eso q tengo el SP2 ,vaya
> > >> >> > firewall.
> > >> >> > Me ha salido que tenia este malware/spyware/BetterInet ..¿como lo quito?
> > >> >> > Ya lo tuve una vez y se fue, hace unos 15 dias..
> > >> >> > Otra cosa, se me ha puesto en procesos un archivo muy raro que no me suena
> > >> >> > de nada, y esta en la carpeta de windows, se llama HTPACTH.EXE y su icono es
> > >> >> > un codigo de barras, ocupa 28kb, y si le doy porque es una aplicacion se va
> > >> >> > poniendo en procesos tantas veces como le doy, si le doy 3 veces a ese
> > >> >> > archivo, salen en procesos 3 veces el HTPACTH.EXE...con icono de codigo de
> > >> >> > barras... ¿Igual es eso?
> > >> >> > Porque no me suena de nada, ademas sale en lo de RUN, en el registro
> > >> >> >
> > >> >> > Ayuda... gracias amigos...
> > >> >> >
> > >> >>
> > >>
> >
Respuesta Responder a este mensaje
#9 José Gallardo
25/04/2005 - 10:52 | Informe spam
Yo te propondría lo siguiente: puesto que ya no tienes los síntomas que tenías (aunque Panda diga que lo tienes), observa el ordenador. No descartes que ya esté eliminado todo y Panda te esté dando una falsa alarma.
En cuanto a The Cleaner, no pasa nada porque lo dejes en cuarentena. Cuando pase cierto tiempo, si ves que todo va bien, puedes eliminarlo.

"Fernando" escribió en el mensaje news:
Hola, te doy mas informacion, en otro foro, me han comentado que pasara el
FIXBINET, y asi se eliminaria el adware BetterInternet, pero lo mio es
spyware,no adware,¿Serviria igual? Te lo digo, pq lo he pasado y se ha pegado
unos 20 minutos, ha mirado todo y me ha dicho que NO HA ENCONTRADO EL
BETTERINTERNET EN MY COMPUTER.ya me estoy cansando pq esto creo q es
cachondeo del ordenador... ahora en la pagina que me salia,la de futbol, ya
no me sale, no me sale en ninguna, pero coñe, paso el panda on line y me pone
q tengo una infeccion en el registro, ¿Seran esos 3 archivos o troyanos y los
tendre q borrar del The Cleaner (estan en cuarentena), y luego borrarlos del
registro y reiniciar, a ver pasa??

Gracias y dime o decidme algo por favor...

"Fernando" escribió:

Otra cosa, ahora me he quedado a huevo, es decir, sin ideas, estoy pasando
por pasar el the cleaner y me han salido 3 troyanos , no creo q salgan
masme pone la ruta c:\archivos de programa\DAP\son estos 3:
DAPBHO.DLL
DAPEXTIE.HTM
DAPEXTIE2.HTM

Pero lo bueno es q miro en la carpeta y esos archivos no estan, ni tampoco
estan ocultos que tambien he mirado, ¿Pues donde estan? ¿En el registro? A
ver si son el causante del spyware BetterInet
No se , tu diras, por favor , dimelo pronto, pq me estoy volviendo loco de
atar

Saludos... por cierto, el programa me los ha puesto en cuarentena, los puedo
borrar??o los dejo en cuarentena q no molestaran?
Gracias :(


"Fernando" escribió:

> Nada de nada, el Microsoft Antispyware tampoco ha podido con él, me ha
> revisado el registro, las claves, todo, y me sale que 0 items ( rarisimo )
> He pasado el Hijackthis y te pongo los resultados como me dijiste: ( una
> cosa, hay un proceso q no sale , esta en windows/system32/alg.exe y pone q es
> de SERVICIO LOCAL, pero las siglas alg: application layer gateway service,
> eso me pone con el programa que tengo , el : Process Explorer...y en el
> htpatch.exe, al lado no pone nada...(pone Usuario,en procesos)... Aqui te
> pongo lo q sale en el Hijackthis,el log:
>
> Logfile of HijackThis v1.99.1
> Scan saved at 16:20:48, on 24/04/2005
> Platform: Windows XP SP2 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
>
> Running processes:
> C:\WINDOWS\System32\smss.exe
> C:\WINDOWS\system32\winlogon.exe
> C:\WINDOWS\system32\services.exe
> C:\WINDOWS\system32\lsass.exe
> C:\WINDOWS\system32\svchost.exe
> C:\WINDOWS\System32\svchost.exe
> C:\WINDOWS\Explorer.EXE
> C:\WINDOWS\system32\spoolsv.exe
> C:\WINDOWS\htpatch.exe
> C:\WINDOWS\SOUNDMAN.EXE
> C:\ARCHIV~1\NORTON~1avapw32.exe
> C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
> C:\WINDOWS\system32\ctfmon.exe
> C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
> C:\Archivos de programa\Norton AntiVirusavapsvc.exe
> C:\WINDOWS\system32vsvc32.exe
> C:\Archivos de programa\Archivos comunes\Symantec Shared\Security
> Center\SymWSC.exe
> C:\Documents and Settings\Usuario\Escritorio\HijackThis.exe
>
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
> http://www.terra.es/
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
> R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
> R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
> http://go.microsoft.com/fwlink/?LinkId"028
> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
> Vínculos
> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
> C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
> O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
> O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos
> de programa\Norton AntiVirus\NavShExt.dll
> O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
> C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
> O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
> C:\WINDOWS\system32\NvCpl.dll,NvStartup
> O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
> O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
> O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
> O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
> O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1avapw32.exe
> O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe
> O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de
> programa\CyberLink\PowerDVD\PDVDServ.exe"
> O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de
> programa\SlySoft\CloneCD\CloneCDTray.exe" /s
> O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
> C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
> O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
> O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN
> Messenger\MsnMsgr.Exe" /background
> O8 - Extra context menu item: &Download with &DAP -
> C:\ARCHIV~1\DAP\dapextie.htm
> O8 - Extra context menu item: Download &all with DAP -
> C:\ARCHIV~1\DAP\dapextie2.htm
> O8 - Extra context menu item: E&xportar a Microsoft Excel -
> res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
> O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
> C:\Archivos de programa\Messenger\msmsgs.exe
> O9 - Extra 'Tools' menuitem: Windows Messenger -
> {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de
> programa\Messenger\msmsgs.exe
> O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
> http://tools.ebayimg.com/eps/wl/act...0-3-24.cab
> O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
> Class) - http://www.pandasoftware.com/active...asinst.cab
> O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
> (MsnMessengerSetupDownloadControl Class) -
> http://messenger.msn.com/download/m...loader.cab
> O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) -
> Symantec Corporation - C:\Archivos de programa\Norton AntiVirusavapsvc.exe
> O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
> C:\WINDOWS\system32vsvc32.exe
> O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
> C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
> O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
> Corporation - C:\Archivos de programa\Archivos comunes\Symantec
> Shared\SNDSrvc.exe
> O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos
> de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
>
>
> ESTO PONE, NO SE SI SABRAS INTERPRETARO, ESPERO Q SI, PORQUE SI SE BORRA
> ALGO QUE ES BUENO, SE FASTIDIA ESE PROGRAMA E INCLUSO EL ORDENADOR, O SEA Q
> ACIERTA POR FAVOR :)
> TE ESCRIBO EN MAYUSCULAS PARA DIFERENCIAR
> SALUDOS Y AYUDAME Y SINO LO TIENES CLARO CONSULTA CON ALGUN COLEGA POR
> FAVOR...QU ES TO YA ES MUY EXTRAÑO, SOLO EN 3 WEBS ME SALE, EN LAS OTRAS NO...
>
> "José Gallardo" escribió:
>
> > Vamos a intentarlo con el Antispyware de Microsoft:
> > http://www.microsoft.com/athome/sec...fault.mspx
> > Si no se elimina, descárgate el HijackThis:
> > http://www.spychecker.com/program/hijackthis.html
> > pásalo, guarda los resultados en un archivo log y postea aquí su contenido.
> >
> >
> > "Fernando" escribió en el mensaje news:
> > > Nada de nada Jose, no he encontrado nada de eso.Ni en el registro ni en el
> > > ordenador, entonces no tengo ni idea donde puede estar...
> > > Eso si, los popups emergentes piratas, solo me salian en 3 hojas: de las 45
> > > o asi q tengo para mirar cada dia...
> > > En www.pesoccerworld.com, www.mocosoft.com,y en ww.adsl4ever.com, en las
> > > demas no em ha salido nada..Total q he borrado de favoritos esas webs, voy a
> > > poner el panda on line ahora y te digosigue pensando por favor...
> > >
> > > Lo de restaurar el sistema, pues la verda, no tengo ni idea de q dia me
> > > entro eso.por eso mismo no lo hago...
> > >
> > > Gracias y si necesitas ayuda, pregunta a tus colegas de microsoft ,por
> > > favor... :(
> > >
> > > "José Gallardo" escribió:
> > >
> > >> Puesto que lo que te voy a indicar es algo largo, mira a ver si puedes restaurar a un punto anterior a la infección. Si no, vamos a hacerlo manualmente:
> > >>
> > >> 1) Pulsa Ctrl+Alt+Supr y mata los procesos siguientes (lso que tengas):
> > >>
> > >> bih.exe
> > >> c:\cxtpls_loader.exe
> > >> deletelockedfiles.exe
> > >> espam.exe
> > >> holidaym.exe
> > >> lkmkrlj.exe
> > >> mm_reco.exe
> > >> profilepath+\local settings\temp\alchem.exe
> > >> profilepath+\local settings\temp\banner.exe
> > >> profilepath+\local settings\temp\belt.exe
> > >> profilepath+\local settings\temp\biprep.exe
> > >> profilepath+\local settings\temp\preinsbi.exe
> > >> profilepath+\local settings\temporary internet files\content.ie5\ot2jqp0h\bi[1].exe
> > >> randreco.exe
> > >> snkqzj[1].exe
> > >> susp.exe
> > >> systemroot+\belt.exe
> > >> systemroot+\bi.exe
> > >> systemroot+\inst\3p.exe
> > >> systemroot+\lastgood\biprep.exe
> > >> systemroot+\preinsbi.exe
> > >> systemroot+\temp\biprep.exe
> > >> thin-8-1-x-x.exe
> > >> thin-94-2-x-x.exe
> > >> thnall2c.exe
> > >>
> > >> 2) Inicio>Ejecutar y escribe "regedit" sin comillas. Navega hasta
> > >>
> > >> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
> > >>
> > >> y pincha sobre el "+". Si aparece debajo una clave llamada "belt", elimínata y reinicia WIndows.
> > >>
> > >> 3) Inicio>Ejecutar y escibe sin comillas "regsvr32 /u <nombre>", donde <nombre> es cada uno de éstos (hazlo de uno en uno):
> > >>
> > >> banner.dll
> > >> bh.dll
> > >> cleanhistories.dll
> > >> msg{7825467c-d5db-4708-b0bf-2943792fab60}0115.dll
> > >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0112.dll
> > >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0113.dll
> > >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0115.dll
> > >> profilepath+\local settings\temp\bi.dll
> > >> programfilesdir+\common files\betterinternet\ssuvtmr.dll
> > >> programfilesdir+\common files\betterinternet\ssuvtmr6.dll
> > >> programfilesdir+\common files\betterinternet\utils_21.dll
> > >> programfilesdir+\common files\betterinternet\vbalicom6.dll
> > >> systemroot+\bi.dll
> > >> systemroot+\ceres.dll
> > >> systemroot+\system\bi.dll
> > >> systemroot+\system\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
> > >> systemroot+\system\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
> > >> systemroot+\system\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
> > >> systemroot+\system\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
> > >> systemroot+\system\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
> > >> systemroot+\system\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
> > >> systemroot+\system\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
> > >> systemroot+\system\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
> > >> systemroot+\system\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
> > >> systemroot+\system\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
> > >> systemroot+\system\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
> > >> systemroot+\system\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
> > >> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
> > >> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0113.dll
> > >> systemroot+\system32\apledit.cpy.dll
> > >> systemroot+\system32\bi.dll
> > >> systemroot+\system32\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
> > >> systemroot+\system32\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
> > >> systemroot+\system32\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
> > >> systemroot+\system32\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
> > >> systemroot+\system32\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
> > >> systemroot+\system32\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
> > >> systemroot+\system32\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
> > >> systemroot+\system32\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
> > >> systemroot+\system32\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
> > >> systemroot+\system32\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
> > >> systemroot+\system32\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
> > >> systemroot+\system32\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
> > >> systemroot+\system32\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
> > >> systemroot+\temp\bi.dll
> > >>
> > >> 4) Inicio>Ejecutar y escribe "regedit" sin comillas: busca y elimina estas claves:
> > >>
> > >> HKEY_CLASSES_ROOT\ceresdll.ceresdllobj
> > >> HKEY_CLASSES_ROOT\ceresdll.ceresdllobj.1
> > >> HKEY_CLASSES_ROOT\clsid\{00000000-59d4-4008-9058-080011001200}
> > >> HKEY_CLASSES_ROOT\clsid\{00000049-8f91-4d9c-9573-f016e7626484}
> > >> HKEY_CLASSES_ROOT\clsid\{000006b1-19b5-414a-849f-2a3c64ae6939}
> > >> HKEY_CLASSES_ROOT\clsid\{ddffa75a-e81d-4454-89fc-b9fd0631e726}
> > >> HKEY_CLASSES_ROOT\dlmaxdll.dlmaxdllobj
> > >> HKEY_CLASSES_ROOT\dlmaxdll.dlmaxdllobj.1
> > >> HKEY_CLASSES_ROOT\interface\{bb0d5adc-028d-4185-9288-722ddce2c757}
> > >> HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{000006b1-19b5-414a-849f-2a3c64ae6939}
> > >> HKEY_CLASSES_ROOT\typelib\{230c3786-1c2c-45bd-9d2d-9d277fce6289}
> > >> HKEY_CLASSES_ROOT\typelib\{92daf5c1-2135-4e0c-b7a0-259abfcd3904}
> > >> HKEY_CURRENT_USER\software\ceres
> > >> HKEY_CURRENT_USER\software\dlmax
> > >> HKEY_LOCAL_MACHINE\software\classes\clsid\{ddffa75a-e81d-4454-89fc-b9fd0631e726}
> > >> HKEY_LOCAL_MACHINE\software\dbi
> > >> HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{30000273-8230-4dd4-be4f-6889d1e74167}
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogonotify\guardian
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{000006b1-19b5-414a-849f-2a3c64ae6939}
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/winnt/kmg14100.exe\.owner
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/winnt/kmg14100.exe\{30000273-8230-4dd4-be4f-6889d1e74167}
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\belt
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shell extensions\approved\{ddffa75a-e81d-4454-89fc-b9fd0631e726}
> > >> HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\dbi
> > >> HKEY_LOCAL_MACHINE\software\twaintec
> > >>
> > >> 5) Busca y elimina estos archivos:
> > >>
> > >> abetterinternet.txt
> > >> alchem.ini
> > >> banner.dll
> > >> bh.dll
> > >> bih.exe
> > >> bih.inf
> > >> c:\cxtpls_loader.exe
> > >> cleanhistories.dll
> > >> commonprograms+etturbo.lnk
> > >> deletelockedfiles.exe
> > >> espam.exe
> > >> holidaym.exe
> > >> lkmkrlj.exe
> > >> mm_reco.exe
> > >> msg{7825467c-d5db-4708-b0bf-2943792fab60}0115.dll
> > >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0112.dll
> > >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0113.dll
> > >> msg{c4079322-f5d9-45c1-aa42-8e3acbc43fd6}0115.dll
> > >> profilepath+\local settings\temp\alchem.exe
> > >> profilepath+\local settings\temp\banner.exe
> > >> profilepath+\local settings\temp\belt.exe
> > >> profilepath+\local settings\temp\bi.dll
> > >> profilepath+\local settings\temp\bi.inf
> > >> profilepath+\local settings\temp\bi.ini
> > >> profilepath+\local settings\temp\biini.inf
> > >> profilepath+\local settings\temp\biprep.exe
> > >> profilepath+\local settings\temp\preinsbi.exe
> > >> profilepath+\local settings\temporary internet files\content.ie5\ot2jqp0h\bi[1].exe
> > >> programfilesdir+\common files\betterinternet\ssuvtmr.dll
> > >> programfilesdir+\common files\betterinternet\ssuvtmr6.dll
> > >> programfilesdir+\common files\betterinternet\utils_21.dll
> > >> programfilesdir+\common files\betterinternet\vbalicom6.dll
> > >> randreco.exe
> > >> snkqzj[1].exe
> > >> startupfolder+\cliptrakker.lnk
> > >> startupfolder+\controller.lnk
> > >> startupfolder+etturbo.lnk
> > >> susp.exe
> > >> susp.inf
> > >> susp.ini
> > >> systemroot+\belt.exe
> > >> systemroot+\bi.dll
> > >> systemroot+\bi.exe
> > >> systemroot+\bi.ini
> > >> systemroot+\ceres.dll
> > >> systemroot+\downloaded program files\payload2.inf
> > >> systemroot+\inf\bi.inf
> > >> systemroot+\inf\ceres.inf
> > >> systemroot+\inf\dlmax.inf
> > >> systemroot+\inst\3p.exe
> > >> systemroot+\jkffegom.ini
> > >> systemroot+\lastgood\biprep.exe
> > >> systemroot+\preinsbi.exe
> > >> systemroot+\system\bi.dll
> > >> systemroot+\system\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
> > >> systemroot+\system\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
> > >> systemroot+\system\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
> > >> systemroot+\system\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
> > >> systemroot+\system\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
> > >> systemroot+\system\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
> > >> systemroot+\system\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
> > >> systemroot+\system\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
> > >> systemroot+\system\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
> > >> systemroot+\system\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
> > >> systemroot+\system\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
> > >> systemroot+\system\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
> > >> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
> > >> systemroot+\system\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0113.dll
> > >> systemroot+\system32\apledit.cpy.dll
> > >> systemroot+\system32\bi.dll
> > >> systemroot+\system32\msg{10d1ea6f-2635-4aa0-9f1e-c06ab193eca0}0111.dll
> > >> systemroot+\system32\msg{46a90020-f0d5-11d7-b75c-000ae6dff293}0111.dll
> > >> systemroot+\system32\msg{486f2c20-e64b-11d7-aaa2-0040058246b3}0111.dll
> > >> systemroot+\system32\msg{5b32dacd-56a9-4ddf-899d-f4419956f855}0112.dll
> > >> systemroot+\system32\msg{67dc41a0-f3e4-11d7-8fc4-0010dcf3f9b3}0111.dll
> > >> systemroot+\system32\msg{89200fed-9d24-41ca-906fa89e97cba292}0111.dll
> > >> systemroot+\system32\msg{92718eea-cc55-4576-ac52-d377170d24c5}0111.dll
> > >> systemroot+\system32\msg{a54e2100-e1da-11d7-b93a-00096bf2a541}0111.dll
> > >> systemroot+\system32\msg{a70745d6-od8c-4a4d-b9b8-c594598d3afd}0112.dll
> > >> systemroot+\system32\msg{b5211e71-7ca6-4cdd-96fc-7d30768858c3}0112.dll
> > >> systemroot+\system32\msg{e85eacfd-6a79-4643-b02e-2690b134b288}0111.dll
> > >> systemroot+\system32\msg{e912ec00-e76a-11d7-a9d1-0050ba0ba538}0111.dll
> > >> systemroot+\system32\msg{f7c98852-ba58-4a8f-a54f-646c03042b4a}0112.dll
> > >> systemroot+\temp\bi.dll
> > >> systemroot+\temp\bi.ini
> > >> systemroot+\temp\biprep.exe
> > >> thin-8-1-x-x.exe
> > >> thin-94-2-x-x.exe
> > >> thnall2c.exe
> > >>
> > >> 6) Busca y elimina estos directorios:
> > >>
> > >> favorites+\sites about
> > >> programfilesdir+\common files\betterinternet
> > >> programfilesdir+etturbotrial
> > >>
> > >> "Fernando" escribió en el mensaje news:
> > >> > Nada de nada Jose, lo he pasado mil veces y lo unico que hace es borrarme
> > >> > ,porque borro todo los critical objects y negligibles, el historial que tengo
> > >> > guardado en la barra de herramientas, solo me queda la de terra que es la
> > >> > hoja principal, lo de favoritos menos mal que no lo toca pq sino otra vez a
> > >> > meter todo.
> > >> > He pasado el ad-aware SE , el microsoft antispyware, el antivirus me da
> > >> > negativo ( perfecto) ,no hay troyanos, ( the cleaner), solo me queda probar
> > >> > con el spy and bot 1.3...
> > >> > Mira el archivo que te dije , HTPACTH.EXE en la carpeta de Windows, no me
> > >> > suena de nada y esta en procesos y con un icono de codigo de barras q no me
> > >> > suena de nada, y en el registro en teoria solo salen
> > >> > c:/windows/system32/lo q sea, pues este no lleva el system32, solo
> > >> > windows y resulta sospechoso, NO SE SI QUITARLO A MANOy probar...
> > >> > ¿Tu que harias? porque me canso q me salgan paginas de telefonia, casinos,
> > >> > comidas, industrias, etc
> > >> > Ademas otra cosa, con este spyware BetterInet, ¿Puede darse el caso de que
> > >> > me salgan iconos en la pantalla a raudales, un monton de casino, sex, etc...
> > >> > o solo pasa eso con la barra de buscar, ej: toolbar google, etc...???
> > >> > Si lo dejo, pasaria algo mas malo aun, porque de moneto me deja jugar y
> > >> > hacer ofimatica, solo es dar al aspa y se van las ventanas emergentes...
> > >> >
> > >> > Ayudadme por favor
> > >> >
> > >> > "José Gallardo" escribió:
> > >> >
> > >> >> Pásale el Ad-aware SE de www.lavasoftusa.com
> > >> >>
> > >> >> "Fernando" escribió en el mensaje news:
> > >> >> > Pues eso, al hacer el repaso con el panda porque me salia una ventana rara
> > >> >> > sobre telefonia en cada web que entraba y eso q tengo el SP2 ,vaya
> > >> >> > firewall.
> > >> >> > Me ha salido que tenia este malware/spyware/BetterInet ..¿como lo quito?
> > >> >> > Ya lo tuve una vez y se fue, hace unos 15 dias..
> > >> >> > Otra cosa, se me ha puesto en procesos un archivo muy raro que no me suena
> > >> >> > de nada, y esta en la carpeta de windows, se llama HTPACTH.EXE y su icono es
> > >> >> > un codigo de barras, ocupa 28kb, y si le doy porque es una aplicacion se va
> > >> >> > poniendo en procesos tantas veces como le doy, si le doy 3 veces a ese
> > >> >> > archivo, salen en procesos 3 veces el HTPACTH.EXE...con icono de codigo de
> > >> >> > barras... ¿Igual es eso?
> > >> >> > Porque no me suena de nada, ademas sale en lo de RUN, en el registro
> > >> >> >
> > >> >> > Ayuda... gracias amigos...
> > >> >> >
> > >> >>
> > >>
> >
Respuesta Responder a este mensaje
#10 Fernando
25/04/2005 - 19:10 | Informe spam
Norton no se ha quejado de nada raro,no??
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida