Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

wenas...

buscando por google encontre q a mucha gente le pasa lo mismo, y lo soluciona..:S
segui los mismos pasos.. pero no puedo hacer nada.. me aparecen ventanas solas q se abren de firefox cada tanto.. sino me aparecen animaciones en flash en en el escritorio solas.. uso XP...

todo empezo (creo) con el sp2update00 lo borre, y todo, entro de welta.. pero ahora no entra mas... pero me siguen apareciendo publicidad "de la nada" en la pc. USE todos los programas tipicos y mas comunes... les pido q me pidan el log del HIJACKTHIS, ya q las normas dicen q no se puede poner sin q se lo pidan!


aca les dejo una foto de la publicidad en flash..

http://img84.imageshack.us/my.php?image=spy4cs.jpg

ESTO solo pasa en firefox.. es decir solo se abren ventanas en firefox de la nada..:S



tambien aveces me lleva a la web de starware

porq favor alguien me podria ayudar?

este es el log del Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 19:34:51, on 04/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Spyware Doctor\swdoctor.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\Archivos de programa\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\Remoto\Escritorio\Necesario para sacar\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es-la\msntb.dll
O3 - Toolbar: (no name) - {09C02180-3B46-4CD8-83FF-34DAF442BDEF} - (no file)
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\thomson\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Descargar todo con Wellget - C:\Archivos de programa\WellGet\nxall.htm
O8 - Extra context menu item: &Download all by WellGet - C:\Archivos de programa\WellGet\nxall.htm
O8 - Extra context menu item: Descargado con &WellGet - C:\Archivos de programa\WellGet\nxcatch.htm
O8 - Extra context menu item: Descargar con Star Downloader - C:\Archivos de programa\Star Downloader\sdie.htm
O8 - Extra context menu item: Download by &WellGet - C:\Archivos de programa\WellGet\nxcatch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: WellGet - {35980F6E-A258-4E50-953D-813BB8556899} - C:\Archivos de programa\WellGet\WellGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/k...an_unicode.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1116653577609
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\h02o0af3ed2.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Unknown owner - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe (file missing)

Hola Abbadon, lo que tenes en el sistema es una variante del "Malware Vundo" y para eliminarlo descarga la herramienta VundoFix.exe y seguí las instrucciones.


En tu caso el archivo que tenes que poner a sacar en la primera línea es:

C:\WINDOWS\system32\h02o0af3ed2.dll

Y en la segunda línea lo mismo pero con el nombre del archivo al revés

C:\WINDOWS\system32\2ke3fa0o20h.* <- y punto asterisco.

Luego le das Enter y con HijackThis marca y dale "FIX Cheked" a esta entrada:

O20 - Winlogon Notify: MSSYCLM - C:\WINDOWS\system32\h02o0af3ed2.dll


Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos contas los resultados.

Salu2

Muchisimas gracias piedra..

pero te comento q desp de poner esas direcciones ( la de el archivo al revez y la otra)

cuando se ejecuta el Hijackthis ya en en Nº20 q antes aparecia como

C:\WINDOWS\system32\h02o0af3ed2.dll

ahora aparece asi la nº 20:

Winlogon Notify:Reliability C:\Windows\system32\fp2q03f5e.dll

la borro igualmente??

Tambien me dice cada 2x3 q tengo el look2me.. pero no lo logra sacar.. porq ejemplo el ewido me lo dice siempre... le pongo q los desinfecte pero no hace nada..!


Lo trate de sacar.. pero las cadenas del registro donde el look2me se ejecuta no estan en el regedit de mi pc..

sera porq el ewido me decia q algunos archivos de la carpeta system32 estaban infectados x el look2me y yo los borre manualmente?..

Muchisimas gracias piedra...ya esta.. se soluciono todo!

Hola Abbadon, efectivamente la entrada 020 es la que cambia con cada reinicio y el proceso es primero con HijackThis ver cual es la que esta en ese momento, pero no darle FIX todavía sino que sacar el archivo con VundoFix.exe

Y luego de poner el nombre del archivo al derecho y al revés le das FIX con HijackThis.

Me alegro que ya hayas podido limpiar tu sistema y para confirmar podes probar pasándole el Spy Sweeper 4.5 que supuestamente puede eliminar este parásito automáticamente.

Salu2