| |||||||
| Temas Solucionados Casos de HijackThis y Malwares resueltos. (Solo lectura) |
 |
| | Enviar a: | Herramientas |
 | 
02/03/05, 22:02:24
|  |
| |||
 Spyware "juiceh/cash1.html" (solucionado) Hola Tengo un spyware (o lo que sea) que me levanta el explorador de windows a un par de paginas: "juiceh/cash1.html" o "juiceh/cash2.html". Hice pruebas con Ad-Aware SE, Scan Spyware, Spybot - Search & Destroy, y SpywareBlaster. Adicionalmente, ejecute las aplicaciones Disk Clean, RegClean, y Norton AntiVirus 2005; pero nada. Finalmednte, siguiendo las instrucciones del foro, ejecute hijackthis (junto con el complemento TZ-Kill.inf) y sigo en las mismas: cada vez que inicio mi windows 2000, se carga el dichoso sitio. Las aplicaciones anti spyware no detectan el problema, y la aplicacion hijackthis entrega el siguiente log: Logfile of HijackThis v1.99.1 Scan saved at 10:26:48 PM, on 3/2/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINNT\SYSTEM32\THOTKEY.EXE C:\WINNT\System32\Tmesbs2.exe C:\Program Files\TOSHIBA\TME\Tmesrv.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Program Files\WinPoET Broadband Connection\WrOS.EXE C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.exe C:\WINNT\system32\S3tray.exe C:\WINNT\system32\TPWRTRAY.EXE C:\WINNT\system32\TWarnMsg.exe C:\WINNT\system32\ntvdm.exe C:\WINNT\System32\Tdevdetect.exe C:\WINNT\dslaunch.exe C:\Program Files\QuickTime\qttask.exe C:\WINNT\System32\Tfunckey.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\WINNT\System32\Tpwricon.exe C:\Program Files\WinPoET Broadband Connection\winpppoverethernet.exe C:\WINNT\system32\ntsf.exe C:\WINNT\System32\MsiExec.exe C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe C:\Program Files\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe C:\ADiaz\hijackthis\HijackThis.exe F2 - REG:system.ini: Shell=Explorer.exe C:\logon.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [S3TRAY] S3tray.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [TWarnMsg] TWarnMsg.exe O4 - HKLM\..\Run: [TDspOff] Tdspoff.exe B O4 - HKLM\..\Run: [YAMAHA DS-XG Launcher] C:\WINNT\dslaunch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [z-wrdialer] "C:\Program Files\WinPoET Broadband Connection\wrdialer.exe" O4 - HKLM\..\Run: [a-winpoet-service] "C:\Program Files\WinPoET Broadband Connection\winpppoverethernet.exe" O4 - HKLM\..\Run: [Windows Compliant] ahnlcv.exe O4 - HKLM\..\Run: [Shell Logon] C:\logon.exe O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe" O4 - HKLM\..\Run: [SMTP32 Mailing Protocol] smtp32.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r O4 - HKLM\..\RunServices: [Windows Compliant] ahnlcv.exe O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\RunServices: [SMTP32 Mailing Protocol] smtp32.exe O4 - HKCU\..\Run: [Windows Compliant] ahnlcv.exe O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKCU\..\Run: [SMTP32 Mailing Protocol] smtp32.exe O4 - Global Startup: TSBxLogon.lnk = C:\WINNT\system32\TMESBS2.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: CAMEDIA Master.lnk = C:\Program Files\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe O4 - Global Startup: TMExLogon.lnk = C:\Program Files\Toshiba\TME\TMESRV.EXE O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Páginas similares - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Páginas vinculadas - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O17 - HKLM\System\CCS\Services\Tcpip\..\{9529BB55-FBA0-43DD-841F-8D37446816BF}: NameServer = 209.47.15.118,64.157.143.38, O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: THotkey (THOTKEY) - TOSHIBA Corp. - C:\WINNT\SYSTEM32\THOTKEY.EXE O23 - Service: tmesbs2 (Tmesbs) - Toshiba Corporation - C:\WINNT\System32\Tmesbs2.exe O23 - Service: Tmesrv - Unknown owner - C:\Program Files\TOSHIBA\TME\Tmesrv.exe" /Service (file missing) O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Program Files\WinPoET Broadband Connection\WrOS.EXE Por favor, si me pueden ayudar se los agradeceria toda la vida. Saludos.....  |
| InfoSpyware | ||
| |
|
03/03/05, 13:38:47
| |
| ||||
| Re: Spyware "juiceh/cash1.html" Te doy la bienvenida al Foro de Spyware, por alguna razon no estan saliendo las primeras entradas del log R1 que tendria que estar la pagina que comentas que se carga en el inicio, pero igual veo que tenes un spyware llamado TVMedia. 1- Empeza cortando estos procesos si estan abiertos. WrOS.EXE ntsf.exe 2- Prende la opción de "Ver archivos ocultos y del sistema" 3- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas: O4 - HKLM\..\Run: [z-wrdialer] "C:\Program Files\WinPoET Broadband Connection\wrdialer.exe" O4 - HKLM\..\Run: [Windows Compliant] ahnlcv.exe O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\RunServices: [Windows Compliant] ahnlcv.exe O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKCU\..\Run: [Windows Compliant] ahnlcv.exe O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Program Files\WinPoET Broadband Connection\WrOS.EXE 4- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro) 5- Busca y elimina estos archivos manualmente C:\Program Files\WinPoET Broadband Connection\WrOS.EXE C:\WINNT\system32\ntsf.exe 6- Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar tu registro. Con este mismo busca dentro del registro cualquier entrada con el nombre de la pagina de inicio que te sale y eliminalas. 7- Pásale Ad-Aware SE actualizado. 8- Reinicia y después nos contas los resultados. Salu2 Ausente hasta el 15 de Oct. En viaje al EISI 2009 (Colombia) Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
08/03/05, 22:09:42
| |
| |||
| Re: Spyware "juiceh/cash1.html" Hola Gracias por la ayuda. Aparentemente los "indeseables" desaparecieron; sin embargo, no encontre el archivo "ntsf.exe" en el disco duro y el Ad-Adware me identifica algo llamado "MRU List", el cual no he podido eliminar a pesar de hacer los clics correspondientes. Como sea, no se que hacer con el porfiado que queda, por lo que nuevamente solicito su ayuda. Saludos |
|
09/03/05, 11:27:10
| |
| ||||
| Re: Spyware "juiceh/cash1.html" Pasa que al borrar algunas entradas con HijackThis también desaparecen los archivos, por lo que si habilitases el ver los archivos ocultos y no esta no hay problema. En cuanto a los "MRU-List" que encuentra Ad-Aware SE, no te tenes que preocupar de esto ya que son "Objetos insignificantes" Viene siendo las ultimas entradas o modificaciones del registro del sistema y si los borras y volves a escánear vas a tener otro listado o similar. Si todo funciona bien damos el tema por solucionado. Salu2 Ausente hasta el 15 de Oct. En viaje al EISI 2009 (Colombia) Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
11/03/05, 06:44:26
| |
| |||
| Re: Spyware "juiceh/cash1.html" (solucionado) Hola Aparentemente todo funciona de manera correcta. Me quedo tranquilo con tus comentarios respecto del "MRU List" y los programas que he bajado de vuestro sitio no me detectan "indeseables". Muchas gracias por tu ayuda y por el interés que muestras al tenderle una mano a los "simples mortales" como yo. Saludos Alvaro |
|
« Tema Anterior
|
Próximo Tema »
| Herramientas | |
| |
Todas las horas son GMT -4. La hora es 23:21:57.
