Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

He dado muchas vueltas por los foros y pido perdón porque posteé dos mensajes sin leer algunas consideraciones.

Después de llevar a cabo todos los puntos que que leido, escribo mi logfile.

Creo que tengo el PSGuard, con la pantalla en negro de un falso antiespia con las palabras "WARNING, Your computer might be infected..."

Espero respuesta. Gracias

Logfile of HijackThis v1.99.1
Scan saved at 5:53:02, on 23/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Conceptronic\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\Archivos de programa\Archivos comunes\Nokia\Tools\NclTray.exe
C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE
C:\Archivos de programa\Conceptronic\Bluetooth Software\BTTray.exe
C:\Archivos de programa\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Archivos de programa\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\ARCHIV~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Archivos de programa\Intuwave\Shared\mRouterRunTime\mRouterRun time.exe
C:\ARCHIV~1\CONCEP~1\BLUETO~1\BTSTAC~1.EXE
C:\ARCHIV~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\ARCHIV~1\Nokia\PCSUIT~1\SCRFS.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Archivos de programa\Archivos comunes\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Wireless Presenter] C:\Archivos de programa\Nokia\Nokia Wireless Presenter\Wireless Presenter.exe /NOSPLASH
O4 - HKCU\..\Run: [outpostupdate] C:\WINDOWS\system32\outpostupdate.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB095F63-F6EC-4ABE-9E49-BE5506E1CDF3}: NameServer = 195.235.113.3,195.235.96.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{E62B1B1A-500F-4DC5-A766-FB1694C939B6}: NameServer = 195.235.113.3,195.235.96.90
O21 - SSODL: combustion 3 - {E05972FB-B1F8-6B9C-F002-85727659AF78} - c:\archivos de programa\discreet\combustion 3\winbbez4.dll (file missing)
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Archivos de programa\Conceptronic\Bluetooth Software\bin\btwdins.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Hola

Parece que no estás usando ni antivirus ni firewall en tu sistema, te recomiendo esto:
Bitdefender Freee Edition v 7
Sygate Personal Firewall

Recuerda pasar por el windowsupdate.com regularmente y mantener tu sistema actualizado.

Bueno, veamos ese reporte.

Recuerda seguir estos pasos para la reparación.

1. Ver los archivos ocultos de tu sistema
2. Desactivar la restauración del sistema
3. Iniciar el sistema en el modo «a prueba de fallos» o «modo seguro»
4. Haz los pasos con todos los programas cerrados salvo el que estés usando para la reparación o limpieza.

Deberás marcar estas líneas en el Hijackthis para reparar:

• O4 - HKCU\..\Run: [outpostupdate] C:\WINDOWS\system32\outpostupdate.exe

Si los encuentras, deberás borrar estos archivos y carpetas:

• C:\WINDOWS\system32\outpostupdate.exe

Después de haber hecho esas reparaciones, ejecuta estas otras aplicaciones por si se le ha pasado algo al HijackThis:

• Ad-aware SE
• Disck Cleaner
• Microsoft AntiSpyware
• Spybot Search and Destroy
• Microsoft AntiSpyware
• RegSeeker. De este programa deberás usar principalmente la opción de «limpiar el registro»

Tras estos pasos y reparaciones, cuéntanos como evoluciona el tema.

Felicidad

He seguido los pasos uno por uno:

He eliminado en el Hijackthis:
O4 - HKCU\..\Run: [outpostupdate] C:\WINDOWS\system32\outpostupdate.exe

Si los encuentras, deberás borrar estos archivos y carpetas:
C:\WINDOWS\system32\outpostupdate.exe ((No lo encontré))



He ejecutado:

Ad-aware SE (no encuentra fallos)

Disck Cleaner (deja sin limpiar Windows Lof Files y Win XP prefetch clean)

Microsoft AntiSpyware (todo correcto)

Spybot Search and Destroy (No elimina PSGuard)

RegSeeker (No elimina Sofware/ShudderLTD/PSGuard


Después de todo esto, en el escritorio me sigue saliendo como fondo de pantalla un fondo negro con "Warning Your computer might be infected,,,"

Ahora, este es mi log

Logfile of HijackThis v1.99.1
Scan saved at 17:19:57, on 23/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Conceptronic\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Mixer.exe
C:\Archivos de programa\Archivos comunes\Nokia\Tools\NclTray.exe
C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\ARCHIV~1\PCSuite\Services\SERVIC~1.EXE
C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
C:\Archivos de programa\Conceptronic\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\ARCHIV~1\CONCEP~1\BLUETO~1\BTSTAC~1.EXE
C:\Archivos de programa\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Archivos de programa\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\ARCHIV~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Archivos de programa\Intuwave\Shared\mRouterRunTime\mRouterRun time.exe
C:\ARCHIV~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\ARCHIV~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Archivos de programa\Archivos comunes\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [DataLayer] C:\Archivos de programa\Archivos comunes\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C4660846-8760-4852-8154-82438E33E383} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/es/filesharingctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB095F63-F6EC-4ABE-9E49-BE5506E1CDF3}: NameServer = 195.235.113.3,195.235.96.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{E62B1B1A-500F-4DC5-A766-FB1694C939B6}: NameServer = 195.235.113.3,195.235.96.90
O21 - SSODL: combustion 3 - {E05972FB-B1F8-6B9C-F002-85727659AF78} - (no file)
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Archivos de programa\Conceptronic\Bluetooth Software\bin\btwdins.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Soy algo impaciente, y esperando respuesta he pasado el SmitfraudFix siguiendo otros post, y por fin he liberado el fondo de pantalla del tapiz negro con el "Warning..."

Pero he pasado el Spybot y sigue detectando el PSGuard y no lo puede eliminar.

¿Qué hago ahoraaaa?

Hola desinstala el SpyBot momentáneamente ya que este pude interferir con los cambios que se hagan en el registro por la herramienta SmitfraudFIX.bat

Reinicias eh inicias en modo a prueba de fallos, le pasas nuevamente el SmitfraudFix y limpia tu registro usando RegSeeker

Reinicia en modo normal y reinstala el SpyBot y nos contas los resultados.

Salu2

He realizado lo q me dices.

Al pasar el Spybot una vez hecho todo, me detectó dos problemas nuevos:

DSO Exploit
Desktop. DisplayProperties

Y tb el PSGuard



Y por fin lo ha eliminado todo.

Muchas gracias por todo. Problema solucionado y espero no recaer.

Me gustaría q me remitieras a algún post o página para proteger mi ordenador de la mejor manera posible

Gracias otra vez

Sitios: www.infospyware.com y www.forospyware.com

Programas:

Quisiera asegurarme de q estoy desinfectado, pues al pasar Regseeker y eliminar los registros, siempre me vuelve a salir el siguiente:

HKEY LOCAL MACHINE
Sofware\ShudderLTD\PSGuard
(por defecto) c:\Archivos de programa\PSGuard
Fichero o ruta inexistente

Y aparentemente lo elimina pero me vuelve a salir siempre. ¿Tiene esto importancia?

Gracias

Y gracias tb por las recomendaciones de protección

Al no recibir respuesta de mi último post (supongo que por parecer todo solucionado), me gustaría repetir la pequeña pregunta, que copio literalmente:

"Quisiera asegurarme de q estoy desinfectado, pues al pasar Regseeker y eliminar los registros, siempre me vuelve a salir el siguiente:

HKEY LOCAL MACHINE
Sofware\ShudderLTD\PSGuard
(por defecto) c:\Archivos de programa\PSGuard
Fichero o ruta inexistente

Y aparentemente lo elimina pero me vuelve a salir siempre. ¿Tiene esto importancia?"

Gracias

Hola

Bueno, al parecer dieron el mensaje por terminado para que asumieras la respuesta.

Pero te diré.

Si la careta ya no existe, la huella en el registro es solo basura acumulada, pero no es importante en modo alguno.

Para tratar de removerla, intenta ejecutar el regseeker en el modo seguro o a prueba de fallos.

Si no lo quitas desde ahí, per ocomo te dije antes, la carpeta ya no existe, no pasa nada. Si la carpeta existe, bórrala.

Felicidad