Hola a todos. Tengo este pequeño gran problema
Mi pc ha sido atacado por un Spyware que segùn el Ad-aware hay un bicho que se llama CoolWeb y me cambia la pàgina de inicio. Alguien puede ayudarme..

PD: Si he seguido los pasos de algunos ejemplos de aqui, solo que eso dura unas horas y despues nuevamente se activa y no me deja usar el internet explorer porque cambia la pàgina. Muchas gracias

Aqui mando el log

Logfile of HijackThis v1.97.7
Scan saved at 11:19:16 a.m., on 04/02/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\ARCHIVOS DE PROGRAMA\THE HACKER\THSM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\ARCHIVOS DE PROGRAMA\THE HACKER\THAV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\UTILITARIOS\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {85A18D82-7377-11D9-8520-00110BE003D7} - C:\WINDOWS\SYSTEM\PGAJBA.DLL
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [THD32.EXE] C:\ARCHIV~1\THEHAC~1\THD32.EXE /NOMSG
O4 - HKLM\..\Run: [TheHackerConsola] C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [T_H_S_M] C:\ARCHIV~1\THEHAC~1\THSM.EXE
O4 - HKLM\..\RunServices: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\PERAV\PAV.EXE
O15 - Trusted Zone: www.epdlp.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = Adsl
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.48.225.130,200.48.225.146

Hola!!!

Estas usando una versión muy vieja de HijakcThis, la actual es HijackThis 1.99.1

Descárgala, creale su propia carpeta y vuelve a dejarnos tu log en este mismo mensaje.

Quedamos a la espera. Saludos.

hola muchas gracias por el dato. aqui pego el nuevo log


Logfile of HijackThis v1.99.1
Scan saved at 11:46:29 a.m., on 04/02/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\ARCHIVOS DE PROGRAMA\THE HACKER\THSM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\ARCHIVOS DE PROGRAMA\THE HACKER\THAV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\UTILITARIOS\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {85A18D82-7377-11D9-8520-00110BE003D7} - C:\WINDOWS\SYSTEM\PGAJBA.DLL
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [THD32.EXE] C:\ARCHIV~1\THEHAC~1\THD32.EXE /NOMSG
O4 - HKLM\..\Run: [TheHackerConsola] C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [T_H_S_M] C:\ARCHIV~1\THEHAC~1\THSM.EXE
O4 - HKLM\..\RunServices: [PAV.EXE] C:\ARCHIV~1\PERSYS~1\PERAV\PAV.EXE
O15 - Trusted Zone: www.epdlp.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = Adsl
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.48.225.130,200.48.225.146
O18 - Filter: text/html - {85861320-7520-11D9-8520-001192C71D59} - C:\WINDOWS\SYSTEM\PGAJBA.DLL
O18 - Filter: text/plain - {85861320-7520-11D9-8520-001192C71D59} - C:\WINDOWS\SYSTEM\PGAJBA.DLL

Hola, bien comencemos :dedosarri .

Antes un par de prguntas:

¿THE HACKER es tu antivirus o algún programa que hayas instalado tu?. Supongo que si.

¿Pusiste tu en sitios de confianza (trusted zone) www.epdlp.com?

Sigue estos pasos:

1) Reinicia a prueba de fallos

2) Usa TZ-Kill.inf para eliminar esta entrada:

O15 - Trusted Zone: www.epdlp.com

Sólo si no la pususte tu en sitios de confianza.

3) Ejecuta HijackThis con todos los programas cerrados (antes deberás haberle creado una carpeta para él) y dale fix a:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

O2 - BHO: (no name) - {85A18D82-7377-11D9-8520-00110BE003D7} - C:\WINDOWS\SYSTEM\PGAJBA.DLL

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O18 - Filter: text/html - {85861320-7520-11D9-8520-001192C71D59} - C:\WINDOWS\SYSTEM\PGAJBA.DLL

O18 - Filter: text/plain - {85861320-7520-11D9-8520-001192C71D59} - C:\WINDOWS\SYSTEM\PGAJBA.DLL

4) Busca y elimina los siguientes archivos y/o carpetas:

C:\WINDOWS\TEMP\se.dll
C:\WINDOWS\SYSTEM\PGAJBA.DLL

5) Usa el Disk Cleaner para eliminar cookies y temporales. Vacia la papelera.

6) Reinicia normal y nos cuentas los resultados.

Saludos.

LA PAGINA WWW.EPDLP.CPM SI LO PUSE EN MIS SITIOS DE CONMFIANZA...AHORA YA LIMPIE TODO LOS REGISTROS CLARO CON LOS CASOS ANTESESORES PERO TE APUESTO QUE EN UN APR DE HORAS ESA COSA SE VUELVE A ACTIVAR PORQUE YA LO HE HECHO

THE HACKER SI ES UN ANTIVIRUS Y ES UNA PORQUERÍA COMO ANTIVIRUS

Hola.

Bueno cuéntanos como ta va todo, porque ya pasó mas de un par de horas: a ver si te consigo ganar la apuesta

Vuelve a postear tu nuevo log para ver como quedó

Saludos.

Buuu, como te dije, volviò a salir la cosa esa. La verdad es que he hecho todo hasta el cansancio y nada...creo que formatearè mi pc porque no le veo soluciòn...snif...muchas gracias por todo, pero antes de formatear seuirè viendo todas las ayudas de aqui.

Aqui hay un log de la pc que saque pero con el Ad-Aware

#:18 [RUNDLL32.EXE]
FilePath : C:\WINDOWS\
ProcessID : 4294747347
Threads : 2
Priority : Normal
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
ProductName : Sistema operativo Microsoft(R) Windows(R)
CompanyName : Microsoft Corporation
FileDescription : Ejecutar un archivo DLL como una aplicación
InternalName : rundll
LegalCopyright : Copyright (C) Microsoft Corp. 1991-1998
OriginalFilename : RUNDLL.EXE

#:19 [AD-AWARE.EXE]
FilePath : C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE SE PROFESSIONAL\
ProcessID : 4294569811
Threads : 4
Priority : Normal
FileVersion : 6.2.0.208
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Resultado del análisis de la memoria:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nuevos críticos: 0
Objetos encontrados hasta ahora: 11


Iniciado análisis del registro
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Malware
Comentario : "HOMEOldSP"
Rootkey : HKEY_USERS
Objeto : .DEFAULT\software\microsoft\internet explorer\main
Valor : HOMEOldSP

CoolWebSearch ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Malware
Comentario : "HOMEOldSP"
Rootkey : HKEY_LOCAL_MACHINE
Objeto : software\microsoft\internet explorer\main
Valor : HOMEOldSP

Possible Browser Hijack attempt ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Malware
Comentario : "sp"
Rootkey : HKEY_LOCAL_MACHINE
Objeto : software\microsoft\windows\currentversion\run
Valor : sp

Resultado del análisis del registro:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nuevos críticos: 3
Objetos encontrados hasta ahora: 14


Iniciado análisis en profundidad del registro
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Resultado del análisis en profundidad del registro:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nuevos críticos: 0
Objetos encontrados hasta ahora: 14


Iniciado el análisis de cookies de seguimiento
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Resultado del análisis de cookies de seguimiento:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nuevos críticos: 0
Objetos encontrados hasta ahora: 14



Analizando y examinando archivos en profundidad (c:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Resultado del análisis de disco para c:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nuevos críticos: 0
Objetos encontrados hasta ahora: 14


Analizando y examinando archivos en profundidad (d:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Resultado del análisis de disco para d:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nuevos críticos: 0
Objetos encontrados hasta ahora: 14


Realizando análisis condicionales...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch ¡Objeto reconocido!
Tipo : Regkey
Datos :
Categoría : Malware
Comentario :
Rootkey : HKEY_CLASSES_ROOT
Objeto : protocols\filter\text/plain

CoolWebSearch ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Malware
Comentario :
Rootkey : HKEY_CLASSES_ROOT
Objeto : protocols\filter\text/plain
Valor : CLSID

CoolWebSearch ¡Objeto reconocido!
Tipo : Regkey
Datos :
Categoría : Malware
Comentario :
Rootkey : HKEY_CLASSES_ROOT
Objeto : protocols\filter\text/html

CoolWebSearch ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Malware
Comentario :
Rootkey : HKEY_CLASSES_ROOT
Objeto : protocols\filter\text/html
Valor : CLSID

CoolWebSearch ¡Objeto reconocido!
Tipo : Regkey
Datos :
Categoría : Malware
Comentario : CWS.about:Blank
Rootkey : HKEY_LOCAL_MACHINE
Objeto : software\microsoft\windows\currentversion\uninstal l\searchassistant uninstall

CoolWebSearch ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Malware
Comentario : CWS.about:Blank
Rootkey : HKEY_LOCAL_MACHINE
Objeto : software\microsoft\windows\currentversion\uninstal l\searchassistant uninstall
Valor : DisplayName

CoolWebSearch ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Malware
Comentario : CWS.about:Blank
Rootkey : HKEY_LOCAL_MACHINE
Objeto : software\microsoft\windows\currentversion\uninstal l\searchassistant uninstall
Valor : UninstallString

CoolWebSearch ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Malware
Comentario :
Rootkey : HKEY_CURRENT_USER
Objeto : software\microsoft\internet explorer\main
Valor : Enable Browser Extensions

CoolWebSearch ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Malware
Comentario :
Rootkey : HKEY_CURRENT_USER
Objeto : software\microsoft\internet explorer\main
Valor : Use Custom Search URL

CoolWebSearch ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Malware
Comentario :
Rootkey : HKEY_LOCAL_MACHINE
Objeto : software\microsoft\internet explorer\main
Valor : Use Search Asst

CoolWebSearch ¡Objeto reconocido!
Tipo : RegValue
Datos :
Categoría : Malware
Comentario :
Rootkey : HKEY_LOCAL_MACHINE
Objeto : software\classes\protocols\filter\text/html
Valor : CLSID

Resultado del análisis condicional:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nuevos críticos: 11
Objetos encontrados hasta ahora: 25

05:03:27 p.m. Análisis completado

Resumen de este análisis
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Tiempo total análisis:00:14:15.350
Analizados:65535
Identificados:14
Ignorados:0
Nuevos críticos:14

Hola!!!

Bien, vayamos por partes, hay varias cosas en tu PC por lo que no podemos atajarlo todo de una vez. La clave del éxito está en la paciencia. Respecto al formateo siempre es una buena opción, ya que es empezar desde cero, pero resulta un poco drástico y mas si no quieres perder algunas cosas de tu PC.

Descárga las siguientes herramientas:

Ad-Aware 1.05 SE Personal, Spybot Search & Destroy 1.3, SpywareBlaster 3.2: aqui . Asegurate de actualizarlas (muy importante).

CWShredder 2.13 (esta es para eliminar el CoolWebSearch): aqui

Aqui tienes unos Manuales en Español para que sepas como se usan.

Una vez descargadas estas herramientas sigue los 11 pasos fundamentales para eliminar spyware: aquí .

Por último vuelve a pegarnos tu log de HijackThis en este mismo mensaje para ver como quedó.

Saludos.

Mira acabo de hacer lo último que me indicaste. aúnno han pasado 2 horas antes de que se vuelva a activar. Le pase todos los programitas que detectan a esos bichos cono el hijack, spy sweeper,ad-aware etc, humm tambien le pase el antirus on line pero el Mcafee (me tienta acomprarlo) y bueno en Modo a prueba de fallo estuve eliminsdo als claves de registro que aprecian en cada log, manualmente y los ficheros que se me hacían suspechosos. De todas maneras ya hize un bacukp de mi información por si esa cosa vuelve.
Tengo el ad-aware profesional y eta activo el scan que detecta la entrada de bichos, pero aún así l vez anteriro logró filtrarse...espero que esta ocación haya sido eliminada defiitiamente.

Muchas gracias por tu ayuda y bueno, igualmente seguiré posteando si hay alguna anomalía, pero por el momento siendo las 04:31 pm no hay nada anormal.

Bien :dedosarri , pues esperemos que no vuelva.

Pero si lo hace pega tu log de HijackThis, para ver que hay que eliminar.

Y si ya no vuelve avisa también para dar el tema por solucionado.

Saludos.