Tema: Popups, icon trays, cambio de pagina inicial (Solucionado)
Ver Mensaje Individual
  post #1 (permalink)  
Antiguo 25/07/06, 13:52:45
closetheworld closetheworld está offline
Usuario
  
Registrado: jul 2006
Ubicación: Argentina
Mensajes: 2
Bien Popups, icon trays, cambio de pagina inicial (Solucionado)
Hola, que tal? paso a comentar un poco los sintomas y que es lo que hice, y al final mando el log del hijack. Gracias por la ayuda :) en serio.

Resulta que me aparecen iconos en el tray diciendo System Alarm: Pop-ups, despues saltan pantallas que dicen:
System performance notice.
Performance of your system is extremely low. bla bla bla.
Click "OK" yo get anti-spyware software you trust

Todas falsas, claro.
Tenia instalado el supuesto Anti-spyware Quake, ya lo borré desde "Agregar y borrar programas" del Panel de Control.
La pagina del IE cambia por syssecuritysite.net, y me tira una pantalla que estoy infectado de el W32.Myzor.FK@yf, y que ponga OK para bajar un anti-spyware, etc. Todo re falso. Me saltan pop-ups en el IE de casino y páginas como AdultFriendFinder también. Se me agregó una barra en el IE llamada Protection Bar.

Ya apagué el System Restore, ejecuté el DelPSGuard (que borró con exito un sólo archivo y varios accesos directos que me habia creado el spyware, aparte de cambiarme el fondo). Creó tambien, por ejemplo, un acceso directo en el Menu Inicio con otro icono del Windows Update y direcciona hacia:
"C:\WINXP\system32\rundll32.exe C:\WINXP\system32\muweb.dll,LaunchMUSite", yo por las dudas no hice click aún. Luego también tengo unos procesos los cuales no puedo eliminar (probé con el Killbox pero sin éxito), estos son: isamonitor.exe e isamini.exe. Según averigué son de un programa llamado IntCodec (la carpeta está en c:\program files\intcodec), pero imposible borrarlo. Intenté hacerlo desde modo a prueba de fallos pero estuve intentando entrar durante 10 minutos aproximadamente y no hubo caso. En caso de que tenga que si o si entrar a Modo a Prueba de Fallos, intentaré de nuevo con más tiempo, claro.

Corrí un programada llamado Prevx1 en el que tambien desistí.
Corrí el Panda Anti Virus Online y el resultado fue el siguiente:
Adware:Adware/PestTrap No desinfectado
C:\Documents and Settings\..\Local Settings\Temporary Internet Files\Content.IE5\0D2ZSL2R\syssecuritysite[1].htm

Spyware:Cookie/Zedo No desinfectado
Spyware:Cookie/Atlas DMT No desinfectado
Spyware:Cookie/Mediaplex No desinfectado
Spyware:Cookie/Com.com No desinfectado
Spyware:Cookie/FastClick No desinfectado
Spyware:Cookie/FastClick No desinfectado
Spyware:Cookie/Doubleclick No desinfectado
Spyware:Cookie/2o7 No desinfectado
Spyware:Cookie/QuestionMarket No desinfectado
Spyware:Cookie/Com.com No desinfectado
Spyware:Cookie/Statcounter No desinfectado
Spyware:Cookie/AdDynamix No desinfectado
Spyware:Cookie/YieldManager No desinfectado
Spyware:Cookie/Com.com No desinfectado
Spyware:Cookie/2o7 No desinfectado
Spyware:Cookie/Malwarewipe No desinfectado
Spyware:Cookie/ademails No desinfectado
Spyware:Cookie/Com.com No desinfectado
Spyware:Cookie/Statcounter No desinfectado
Spyware:Cookie/Doubleclick No desinfectado
Spyware:Cookie/SpyLog No desinfectado
Spyware:Cookie/HotLog No desinfectado
Spyware:Cookie/Com.com No desinfectado
Spyware:Cookie/Atlas DMT No desinfectado
Spyware:Cookie/Mediaplex No desinfectado
Spyware:Cookie/QkSrv No desinfectado
Spyware:Cookie/Apmebf No desinfectado
Spyware:Cookie/Advertising No desinfectado
Spyware:Cookie/Advertising No desinfectado
Spyware:Cookie/Com.com No desinfectado
Spyware:Cookie/2o7 No desinfectado
Spyware:Cookie/DomainSponsor No desinfectado
Spyware:Cookie/Maxserving No desinfectado
Spyware:Cookie/Zedo No desinfectado
Spyware:Cookie/onestat.com No desinfectado
Spyware:Cookie/Com.com No desinfectado
Spyware:Cookie/RealMedia No desinfectado
Spyware:Cookie/Tribalfusion No desinfectado
Spyware:Cookie/Hbmediapro No desinfectado
Spyware:Cookie/Server.iad.Liveperson No desinfectado
Spyware:Cookie/Server.iad.Liveperson No desinfectado
Spyware:Cookie/FastClick No desinfectado
Spyware:Cookie/Admotion No desinfectado
Spyware:Cookie/Com.com No desinfectado
Spyware:Cookie/2o7 No desinfectado
Spyware:Cookie/2o7 No desinfectado
Spyware:Cookie/Tradedoubler No desinfectado
Spyware:Cookie/BurstNet No desinfectado
Spyware:Cookie/Casalemedia No desinfectado
Spyware:Cookie/WUpd No desinfectado
Spyware:Cookie/Valueclick No desinfectado
Spyware:Cookie/QuestionMarket No desinfectado
Spyware:Cookie/Xiti No desinfectado
Spyware:Cookie/Traffic Marketplace No desinfectado
Spyware:Cookie/Hitbox No desinfectado
Spyware:Cookie/Overture No desinfectado
Spyware:Cookie/Bluestreak No desinfectado
Spyware:Cookie/FortuneCity No desinfectado


Aproximadamente 60 spywares en cookies, unos del IE, y otros en el Firefox.

El reporte del Hijackthis es el siguiente:
Logfile of HijackThis v1.99.1
Scan saved at 2:46:46 PM, on 7/25/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\Explorer.EXE
C:\Program Files\IntCodec\pmsngr.exe
C:\Program Files\IntCodec\isamonitor.exe
C:\Program Files\IntCodec\pmmon.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\IntCodec\isamini.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINXP\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe
C:\WINXP\system32\nvsvc32.exe
C:\Program Files\Prevx1\PXAgent.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Google\Web Accelerator\googlewebaccclient.exe
C:\WINXP\system32\WgaTray.exe
C:\WINXP\system32\wuauclt.exe
C:\Program Files\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://localhost:9100/proxy.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Program Files\IntCodec\isaddon.dll
O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~2\FLASHGET\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~2\FLASHGET\fgiebar.dll
O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O3 - Toolbar: Protection Bar - {d1ac752e-883f-4ed8-8828-b618c3a72152} - C:\Program Files\IntCodec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Run Google Web Accelerator.lnk = C:\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~2\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~2\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1153503945718
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINXP\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx1\PXAgent.exe" -f (file missing)



Disculpen por ser tan extenso, traté de dar los mayores detalles posibles.
Muchisimas gracias por tomarse el tiempo en leer todo, y los gracias serian mas que totales si encuentran cual es el problema.
Saludos,
Alejandro.
Última edición por closetheworld fecha: 25/07/06 a las 13:55:46.
Responder Con Cita