Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola. No puedo eliminar el XP Antivirus. Lo desinstalé, escaneo con Spybot Search&Destroy, SuperAntiSpyware, AVG-Spyware, sin embargo cada tanto en la página de inicio de Internet aparece la dirección C:\WINDOWS\System32\spywarewarning.mht., como así también una ventana: Windows security alert. Elimino C:\WINDOWS\System32\spywarewarning.mht. con FileASSASIN, y el Spybot, cada vez que inicio la PC, me pregunta si deseo permitir el cambio de página de inicio C:\WINDOWS\System32\spywarewarning.mht. por la de Google.com.ar. Obviamente, lo bloqueo. ¿Me pueden ayudar a eliminarlo? Gracias

Hola.

Realiza lo siguiente...

• Descarga SmithFraud.exe
  • Reinicia eh inicia en modo seguro.
• Dale Click sobre el Icono de SmithFraud.
• Presiona cualquier letra para continuar.
• Ahora Presiona la opcion "2" "Clean" enter.
• Espera a que la herramienta lleve a cabo el proceso de desinfección. El fondo de Escritorio desaparecerá. Esto es normal.
• Se abrirá una ventanita con la siguiente pregunta: Registry cleaning - Do you want to clean the registry?" (¿Desea limpiar el registro?)...Pulsa sobre la tecla "Y" (Yes) para confirmar que sí y pulsa ENTER.
• El ordenador se reiniciará para teminar el proceso de limpieza. Si no se reiniciara automáticamente, reinícialo manualmente.
• Después de reiniciar, se generará un archivo "rapport.txt", En
• En caso de que el informe no se genere automatico ve a C:\, alli encontraras el informe ,su contenido lo copias y pegas aqui.

Para finalizar....

Realiza un escaneo con el "Panda ActiveScan Online" , copias y pegas aqui el reporte.

salu2!

Al bajar el SmitFraudFix, AVG me detectó dos troyanos, puedo continuar con el proceso que me recomendaste? Gracias

Hola.

Si puedes seguir con el Proceso , lo que te deteco , es un falso positivo hacia la herramienta Smitfraud , pero no debes preocuparte por ello , ya que es un falso positivo

Recomendacio:Desactiva tu Antivirus Temporalmente y vuelve a bajar el programa para que puedas ejecutarlo sin ningun problema.

salu2!

Realicé todos los pasos. Va el informe de SmitFrauFix:
Eliminé la primera parte por falta de espacio

SmitFraudFix v2.274

Scan done at 22:20:46,28, 18/01/2008
Run from C:\Documents and Settings\Usuario\Escritorio\SmitfraudFix
OS: Microsoft Windows XP [Versi¢n 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ld???.tmp Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{39A85E65-1444-4914-AA0C-78D9912ED6F1}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{39A85E65-1444-4914-AA0C-78D9912ED6F1}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{3CDFF278-7B58-403D-95AF-D79A1DFF55D9}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A6D37D59-A88E-49A6-A620-13EAB973565A}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A6D37D59-A88E-49A6-A620-13EAB973565A}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B0AC1C35-718E-4481-96F2-3220BAFA4123}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B0AC1C35-718E-4481-96F2-3220BAFA4123}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C7719292-7570-4AAF-9D24-E6D8F5AB17FB}: DhcpNameServer=190.7.31.225 190.7.31.226
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C7719292-7570-4AAF-9D24-E6D8F5AB17FB}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D898BACC-06A5-4A8A-B319-D48CEE1ACA2D}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D898BACC-06A5-4A8A-B319-D48CEE1ACA2D}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{39A85E65-1444-4914-AA0C-78D9912ED6F1}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{39A85E65-1444-4914-AA0C-78D9912ED6F1}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3CDFF278-7B58-403D-95AF-D79A1DFF55D9}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A6D37D59-A88E-49A6-A620-13EAB973565A}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A6D37D59-A88E-49A6-A620-13EAB973565A}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B0AC1C35-718E-4481-96F2-3220BAFA4123}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B0AC1C35-718E-4481-96F2-3220BAFA4123}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C7719292-7570-4AAF-9D24-E6D8F5AB17FB}: DhcpNameServer=190.7.31.225 190.7.31.226
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C7719292-7570-4AAF-9D24-E6D8F5AB17FB}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D898BACC-06A5-4A8A-B319-D48CEE1ACA2D}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D898BACC-06A5-4A8A-B319-D48CEE1ACA2D}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{39A85E65-1444-4914-AA0C-78D9912ED6F1}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{39A85E65-1444-4914-AA0C-78D9912ED6F1}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{3CDFF278-7B58-403D-95AF-D79A1DFF55D9}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A6D37D59-A88E-49A6-A620-13EAB973565A}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A6D37D59-A88E-49A6-A620-13EAB973565A}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B0AC1C35-718E-4481-96F2-3220BAFA4123}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B0AC1C35-718E-4481-96F2-3220BAFA4123}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C7719292-7570-4AAF-9D24-E6D8F5AB17FB}: DhcpNameServer=190.7.31.225 190.7.31.226
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C7719292-7570-4AAF-9D24-E6D8F5AB17FB}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D898BACC-06A5-4A8A-B319-D48CEE1ACA2D}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D898BACC-06A5-4A8A-B319-D48CEE1ACA2D}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=190.7.31.225 190.7.31.226
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=190.7.31.225 190.7.31.226
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=190.7.31.225 190.7.31.226


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="lsass.exe"


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Este es el informe de Panda Antivirus Active Scan:
Incidencia Estado Elemento

Adware:Adware/SpywareDetect No desinfectado c:\windows\system32\1028p.exe
Adware:Adware/BraveSentry No desinfectado C:\Documents and Settings\Usuario\Datos de programa\Install.dat
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\Documents and Settings\Usuario\Escritorio\SmitfraudFix\Process.e xe
Virus:Trj/Rebooter.J Desinfectado C:\Documents and Settings\Usuario\Escritorio\SmitfraudFix\Reboot.ex e
Herramienta potencialmente no deseada:Application/SuperFast No desinfectado C:\Documents and Settings\Usuario\Escritorio\SmitfraudFix\restart.e xe
Herramienta potencialmente no deseada:Application/Processor No desinfectado C:\WINDOWS\system32\Process.exe

Hola.

Realiza lo siguente...

• Busca y elimina estos archivos :
  • c:\windows\system32\1028p.exe
  • C:\Documents and Settings\Usuario\Datos de programa\Install.dat

Continua con...

• Revisa el siguiente enlace , esto para verificar que la DNS , esten en orden :
  • Cambiar la DNS (Preferente revisa y realiza desde el Tip 2 al 3 )

• Descarga y ejecuta :
  • DelPSGuard.zip
• Copias y pegas aqui el reporte.

Tambien....

• Descarga y ejecuta el "RegUnlocker"
• Marca todas las casilla del Apartado:
  • "Internet"
• Dale Click en "Unlock"

Salu2!
Espero respuestas !

Hola. Eliminé los archivos señalados. Aunque respecto de c:\windows\system32\1028p.exe sólo encontré una carpeta vacía.
Este es el reporte de DelPSGuard:

DelPSGuard v 4.8.7
by www.ForoSpyware.com
Reporte Creado: 3:26:13,56, 19/01/2008
SO: Microsoft Windows XP [Versi¢n 5.1.2600]
Modo de Inicio: Normal
_________________________________________


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»

Problemas con la eliminacion C:\WINDOWS\system32 \spywarewarning.mht

»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»



»»»»»»»»»»»» FIN »»»»»»»»»»»»

Hola.

Cuentame como esta la pc


salu2!

Hola. Hay varias novedades. Pude eliminar el archivo C:\Windows\System 32\1028p.exe, a través de HijackThis. Además, cuando escaneaba con SUPERAntiSpyware, me detectaba: Browser Hijacker. Internet Explorer Setting Hijack. En el último escaneo, no apareció. Por el momento, tampoco me aparece la ventana Alert Security, pero sigue el archivo C:\Windows\System 32\spywarewarning.mht. Puedo ?

Hola

Hoo ! si se me paso ese archivo , pero no te preocupes puedes eliminar ese archivo , usando el "FileASSASIN" lo buscas y lo eliminas...

salu2!