Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola amigos, espero que me puedan ayudar... mi pc funciono perfectamente durante mucho tiempo... hoy en dia en la red hay demasiado spyware, esta por todos lados... me infecte con uno de estos y decidi formatearla... sucede que hace dos dias que la formatee y ya se volvio a infectar pero esta vez es peor que antes :(

Se me cambio el fondo de pantalla con una advertencia en ingles que dice que estoy en peligro y que tengo que utilizar unas herrmientas anti spyware... es como un escritorio que tiene un hipervinculo... pero yo no lo he presionado xq presiento que es una trampa... tambien se me cambio la pagina de inicio a About blank... y me sale una pagina search for... y cada vez que entro en una pagina o abro una ventana emergente se abre esta pagina search for que no me deja trabajar... y cuando trato de abrir mi bandeja de entrada desde el messenger se activa y no me deja :S :( es horrible...

Baje todos los programas antispyware y los use en modo normal... luego reinicie y los use en modo a prueba de fallos.. y los volvi a usar en modo normal.. pero no se corrige mi problema... por eso recuro a este ultimo recurso para pedirles que me ayuden y a que no tengo intenciones de volver a formatear mi pc de nuevo...

Entonces les dejo aqui mi log para ver si me pueden ayudar... de antemano se los agradezco de todo corazon lo que puedan hacer por mi y la ayuda que me puedan dar...

Logfile of HijackThis v1.99.1
Scan saved at 11:32:16 a.m., on 06/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\SinEspias\no-spy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\HJT\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PC\CONFIG~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PC\CONFIG~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {199C5003-1E67-4598-853E-A9E22A58828B} - C:\WINDOWS\System32\fldp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Name - {5A95B1A9-09EC-4242-8BF0-4BDBF5BE9219} - C:\WINDOWS\System32\msniv.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecustom32.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\no-spy.exe" /autorun
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\se.dll,DllInsta ll
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.213/users/john/web/...m::/update.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{281AE864-AC95-4AD8-94AF-03C416226091}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B9CDA47-B1BE-4D62-B69F-10BEE51EA219}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CS1\Services\Tcpip\..\{281AE864-AC95-4AD8-94AF-03C416226091}: NameServer = 69.50.184.84,195.225.176.37
O18 - Filter: text/html - {66750A9C-E495-44C4-BB83-82B0A4523EFE} - C:\WINDOWS\System32\fldp.dll
O18 - Filter: text/plain - {66750A9C-E495-44C4-BB83-82B0A4523EFE} - C:\WINDOWS\System32\fldp.dll
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

Quiero agregar que se me activo una barra llamada Fresh bar en el internet explorer... y gracias de nuevo...

Hola!!!

Antes de nada te recomiendo desinstalar sin espias ya que aparece en la lista de: The Spyware Warrior List of , catalogándolo como antispyware poco confiable que da falsos positivos. Spyware Warrior es sito muy distinguido en la jerga de Spyware con muchos años de trayectoria que avalan su credibilidad y miembro distinguido de ASAP Alliance of Security Analysis Professionals.

En su lugar te recomiendo que instales programas como Ad-Aware 1.05 SE Personal, Spybot Search & Destroy 1.3, SpywareBlaster 3.2, .

Bien, aclaro que la última palabra la tienes tu, yo te voy a marcar sus entradas para que elimines sin espias.

Después de esta aclaración puedes seguir estos pasos:

1) Apaga Restaurar Sistema

2) Ver archivos ocultos

3) Reinicia a prueba de fallos

4) En panel de control, agragar quitar programas, desinstala:

SinEspias

5) Con el administrador de tareas (Ctrl+Alt+Supr) para los siguientes procesos si se están ejecutando:

no-spy.exe
spoolsrv32.exe

6) Ejecuta HijackThis con todos los programas cerrados y dale fix a:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PC\CONFIG~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PC\CONFIG~1\Temp\se.dll/sp.html

O2 - BHO: (no name) - {199C5003-1E67-4598-853E-A9E22A58828B} - C:\WINDOWS\System32\fldp.dll

O2 - BHO: Name - {5A95B1A9-09EC-4242-8BF0-4BDBF5BE9219} - C:\WINDOWS\System32\msniv.dll

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecustom32.dll

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\no-spy.exe" /autorun

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\se.dll,DllInsta ll

O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.213/users/john/web...hm::/update.exe

O18 - Filter: text/html - {66750A9C-E495-44C4-BB83-82B0A4523EFE} - C:\WINDOWS\System32\fldp.dll

O18 - Filter: text/plain - {66750A9C-E495-44C4-BB83-82B0A4523EFE} - C:\WINDOWS\System32\fldp.dll

7) Busca y elimina los siguientes archivos y/o carpetas:

C:\Archivos de programa\SinEspias\no-spy.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\se.dll
C:\WINDOWS\System32\spoolsrv32.exe
C:\WINDOWS\System32\iecustom32.dll
C:\WINDOWS\System32\fldp.dll

8) Usa RegSeeker para limpiar tu registro (sólo la opción "limpiar el registro").

9) Elimina cookies y temporales de internet con Disk Cleaner . Vacia la papelera.

10) Reinicia normal y nos cuentas los resultados.

Saludos.

1 - Apaga "Restaurar Sistema".

2 - Con todos los programas cerrados, ejecuta HijackThis, marca las siguientes entradas y haces FIX:

C:\Archivos de programa\SinEspias\no-spy.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PC\CONFIG~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\PC\CONFIG~1\Temp\se.dll/sp.html

O2 - BHO: (no name) - {199C5003-1E67-4598-853E-A9E22A58828B} - C:\WINDOWS\System32\fldp.dll
O2 - BHO: Name - {5A95B1A9-09EC-4242-8BF0-4BDBF5BE9219} - C:\WINDOWS\System32\msniv.dll

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecustom32.dll

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\no-spy.exe" /autorun
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\se.dll,DllInsta ll

O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.213/users/john/web...hm::/update.exe

O18 - Filter: text/html - {66750A9C-E495-44C4-BB83-82B0A4523EFE} - C:\WINDOWS\System32\fldp.dll
O18 - Filter: text/plain - {66750A9C-E495-44C4-BB83-82B0A4523EFE} - C:\WINDOWS\System32\fldp.dll

3 - Luego limpia el registro con un programa como RegSeeker por ejemplo.
Te recomiendo que desinstales "SinEspías", se trata de un programa de dudosa reputación y por el momento lo clasificamos como NO recomendable.

4 - Reinicia en "Modo a prueba de fallos" o "Modo seguro" y escanea el equipo con Ad-Aware SE y Spybot Search&Destroy.

5 - Usa el Disk Cleaner para limpiar cookies y temporales.

6 - Reinicia y nos cuentas los resultados.

Saludos.

MUCHAS GRACIAS!!!!!!!!!!!!!!!!!!

Aparentemente ya se solucionó el problema... segui los pasos y ya no queda rastro... espero que no me vuelva a pasar... si no de todas maneras ya se que cuento con uds...

de nuevo muchas muchas gracias!!!

Bien :dedosarri , pues damos el tema por solucionado

Saludos.