Hola, esperando me proporcionen ayuda tengo un problema con una paguina de internet que se habre por si sola la paguina es esta:
http://www.abcsearch.com/redirect/?affiliate=hw1&Terms=cydoor&ah=1&alid=&t=uggc%3A%2 F%2Fhf05.kzyfrnepu.svaqjung.pbz%2Fova%2Fsvaqjung.q yy%3Fpyvpxguebhtu%40l%5E82089%40k%5EK4Qhi6edfz8cF3 3E%3BO8oGP84SCpUF5z3NaQ%3AEx3BNzKh8aZK4xvBwwnQ%3AM 3Ix5nCBI5Y%3BxiAEEQAyL88xKE%3BZzMqtEvKpmeNxtKiVIiT LgZrWY38dMeb%3BIsQ%3B4bDZYhU0geagMG7iwX5nznH7tp6mt emXz0dMK%3Bq%3BLuowYMjyDXiFQ%24%24M&b=0.06&e=SvaqJ ung&abctime=1126710670&v3=Z21205148960FGaXRmbpZUPl ZSPkJ3cmAzN2ATM3YjMxETPl1Wa0ZSO3IzMxgjL2gzN5ITYM1D ZpxmJ1ETMuETNx4yMzEjLxAjM9AXa1ZSP0JmJ9QWa0JmJ9UGc5 RnJ9QWasFmJ9QWahZiMw4CM9ImJxcHa9YWY

todo empezo con la infeccion de Nail.exe, el problema de aurora ya lo solucione con los siguientes programas: kaspersky, ad-ware se y uno que tenia que se llama spyware nuker para si pueden decirme tambien si ese programa es bueno porfa. Tuve la infeccion de varios troyanos (trojan.backdoor, agent.ac y otro nombres segun kaspersky) y de ahi en adelante no puedo limpiar la maquina de unas dos paguinas que se me habren una de ellas la de arriba. si pudieran ayudarme se los agradeceria.

Hola Minino81 y bienvenido al foro, sigue estos pasos:

- Desinstala el SpywareNuker ya que es un falso anti-spyware.

- Sigue los pasos de este tutorial

- Pasa el Regseeker para Limpiar el Registro pasalo hasta q no quede nada para eliminar.

- Reinicia la maquina y nos cuentas los resultados.

- De persistir el problema pasa el Hijackthis y pega tu log en este mismo mensaje para su analisis.

Saludos

Sigo igual o peor ahora el centro de seguridad de windows no me detecta el anrivirus me dice que no esta instalado ningun antivirus siendo que si me lo reconocia. Pego mi log

Logfile of HijackThis v1.99.1
Scan saved at 09:25:23 a.m., on 15/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\nxsppt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Varios\To up\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PicShow Class - {4487598C-2EC7-43A2-870E-6D8D720FDD9F} - C:\WINDOWS\system32\pkshxnrt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [gfbzlqi] C:\WINDOWS\system32\nxsppt.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pshower] C:\WINDOWS\system32\pshwr.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\idse2\jre141\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\idse2\jre141\bin\npjpi141.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: W2k PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe


Estoy seguro que esta indudablemente la borro verdad? es la de aurora
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

La cosa es para que el centro de seguridad me reconosca de nuevo a kaspersky regreso lo que borre con el regseeker?

De antemano agradesco la ayuda brindada.

Sigue estos pasos:

1.- Descarga la herramienta llamada NailFix.zip y descomprímelo en el escritorio de Windows pero aun no lo ejecutes.

2.- Apaga el "Restaurar Sistema"

3.- Reinicia en Modo a Prueba de Fallos

4.- Con todos los programas cerrados ejecutar el archivo NailFix.bat, que descargaste en el escritorio de Windows, este va a abrir una ventana azul con la informacion del programa donde tienes que apretar cualquier tecla para que este continué y elimine el parásito.

5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: PicShow Class - {4487598C-2EC7-43A2-870E-6D8D720FDD9F} - C:\WINDOWS\system32\pkshxnrt.dll

O4 - HKLM\..\Run: [gfbzlqi] C:\WINDOWS\system32\nxsppt.exe r

O4 - HKCU\..\Run: [pshower] C:\WINDOWS\system32\pshwr.exe

6.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\WINDOWS\system32\nxsppt.exe

C:\WINDOWS\Nail.exe

C:\WINDOWS\system32\pkshxnrt.dll

C:\WINDOWS\system32\pshwr.exe

7.- Pasa el Disk Cleaner para limpiar cookies y temporales

8.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

9.- Pasa el Ad-Aware SE actualizado e instala SpywareBlaster

10.- Reinicia la maquina y pega otro log de Hijackthis aqui mismo, luego nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.

Primero solucionamos el problema de los bichos y si luego de la limpieza el error persiste nos lo haces saber.

Saludos

Pego el nuevo log:

Logfile of HijackThis v1.99.1
Scan saved at 1146 a.m., on 19/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [katwotw] C:\WINDOWS\system32\rxmdim.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\idse2\jre141\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\idse2\jre141\bin\npjpi141.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: W2k PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

El problema persiste, tuve un problema al iniciar la herrramienta nailfix me marcaba lo siguiente en un mensaje de error:

Dentro del aviso decia lo siguiente: "ERROR AL INICIAR LA APLICACION NO SE ENCONTRO framedyn.dll. La reinstalacion de la aplicacion podria solucionar el problema.

En la barra de titulo lo siguiente: taskkill.exe - No se puede encontrar el componente

Ese archivo (taskkill.exe) si se encontraba pero no se porque no lo localizaba. no se si este archivo tenga que estar en una ubicacion especial que no sea la misma que la herramienta.

Aun asi el programa se ajecutaba pero parecia no encontrar nada.
por cierto me ha salido un troyano (troyan.agent.oi segun nombre de kaspersky) que usa mucho un archivo llamado POLLER.EXE tambien el mismo troyano usa otros nombres pero usa regularmente este.

Por cierto kaspersky encuentra y elimira la entrada del archivo que contiene la "r" al final y el archivo tambien lo elimina nada mas que con el hijackthis no encuentro esa entrada solo kaspersky la encuentra pero no en scaneo sino el realtime protection es que lo encuentra, esto pasa cuando la maquina se inicia despues de hacer lo de la eliminacion del nail.

Sigue estos pasos:

1.- Elimina el Nailfix que habias descomprimido en el escritorio (y todos sus componentes) y vuelve a descargar el NailFix.zip y descomprímelo en el escritorio de Windows pero aún no lo ejecutes.

2.- Apaga el "Restaurar Sistema"

3.- Reinicia en Modo a Prueba de Fallos

4.- Con todos los programas cerrados ejecutar el archivo NailFix.bat, que descargaste en el escritorio de Windows, este va a abrir una ventana azul con la informacion del programa donde tienes que apretar cualquier tecla para que este continué y elimine el parásito.

5.- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [katwotw] C:\WINDOWS\system32\rxmdim.exe r

6.- Sin reiniciar, busca y elimina estos archivos, si no se dejan eliminar descarga el programa "Killbox" y sigue las indicaciones del mensaje, copia y pega los archivos para que los elimine al reiniciar.

C:\WINDOWS\Nail.exe

C:\WINDOWS\system32\rxmdim.exe r

7.- Pasa el Disk Cleaner para limpiar cookies y temporales

8.- Pasa el Regseeker para Limpiar el Registro, pásalo hasta q no quede nada para eliminar.

9.- Pasa el Ad-Aware SE y el Spybot Search & Destroy actualizados.

10.- Reinicia la maquina y pega otro log de Hijackthis aqui mismo, luego nos cuentas como te fue.

De preferencia imprime las indicaciones para que se te haga mas facil seguirlas.


Primero solucionamos el problema de los bichos y si luego de la limpieza el error persiste nos lo haces saber.

Saludos

Grandioso parece estar limpio el sistema pego el ultimo log que saque despues de la limpieza:

Logfile of HijackThis v1.99.1
Scan saved at 12:31:06 p.m., on 22/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\idse2\jre141\bin\npjpi141.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\idse2\jre141\bin\npjpi141.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: W2k PCtel speaker phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe


Pude solucionar el problema del archivo que supuestamente no encontraba el programa (framedyn.dll) el archivo si existia estaba dentro del directorio de c:/windows/system32/wbem hice una copia de ese archivo y lo pege en la misma hubicacion que tenia el nailfix y el spybot search & destroid ya que los dos me daban la indicacion de no encontrar dicho archivo; al hacer eso los dos programas corrieron normalmente sin darme el aviso de no encontrar el dll y por fin eliminar el nail.

Ya solo queda que el centro de seguridad me reconosca nuevamente el kaspersky.

Tengo una duda con esto:
C:\WINDOWS\system32\wuauclt.exe
No se pero no me late eso, aunque hasta ahora no he tenido problemas con la paguina que se me abria ni ninguna otra.

El log está limpio

Ese archivo pertenece a la actualización automática de Windows por lo que no debes preocuparte del mismo

No es muy relevante que el Centro de Seguridad de Windows, reconozca el Antivirus que tienes instalado, lo mas importante es tenerlo instalado. Para que ya no te salgan esas alertas debes Deshabilitar las alertas del Software Antivirus

Saludos

Muchas gracias que bueno es tener ayuda de esta manera para solucionar con los problemas que nos traen los virus; en verdad muchas gracias.
Esto entonce es PROBLEMA RESUELTO.
Gracias y felicidades a todos los que forman parte de este equipo para ayudar a los usuarios como yo con los problemas que tenemos con las maquinas. Gracias y no duden que cuando tenga un problema seguro recurrire a ustedes y gracias GPASTOR.