Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Bueno, si he vuelto, pork surgio un nuevo problema, con viejos enemigos... "pokapoka75" y "tracertr.exe"

Este es el log de la PC de mi hermano, salen los mismos de antes, los solucione como me habian respondido en el post que abri hace unas semanas, pero ahora es que vuelven a aparecer... tengo miedo de que haya algo mas, aca incluyo el Log actualmente y ustedes me diran.

Logfile of HijackThis v1.99.1
Scan saved at 10:03:41 a.m., on 09/11/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\msdtc.exe
C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\AMD\Cool'n'Quiet\GemServ.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\System\MSSearch\Bin\mssearch.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINNT\System32\svchost.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [CaAvTray] "C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Tracertr] tracertr.exe
O4 - HKLM\..\Run: [System service75] C:\WINNT\etb\pokapoka75.exe
O4 - HKLM\..\RunServices: [Tracertr] tracertr.exe
O4 - HKCU\..\Run: [Tracertr] tracertr.exe
O4 - Startup: Ad-Watch SE Professional.lnk = C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmesar.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmesar.dll
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB5217E5-B29D-472C-B29A-D6DFB347D7CD}: NameServer = 200.51.211.7,200.51.212.7
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Archivos de programa\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

Aclaraciones: Hace una semana atras, el programa "lsass.exe" comenzo a hacer el conteo para reiniciar la PC...
Los antivirus y anti-spyware que pasamos no detectan nada. Espero me digan una solucion, o al menos porque antes se fueron esos dos spyware y ahora vuelven como si nada...

Muchas Gracias! ^^

Hola Paparulo, seguí estos pasos.

Paso 1- Descarga el programa DelEliteB.zip y descomprímalo en el escritorio de Win pero aun no lo ejecutes.

Paso 2- Reinicie eh inicie en "Modo a prueba de fallos" (modo seguro)

Paso 3- Con todos los programas cerrados ejecutar el archivo DelEliteB.exe, seguí los pasos para su instalación y cuando abra la ventana azul continua pulsando cualquier tecla para eliminar el parásito automáticamente.

Paso 4- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:

O4 - HKLM\..\Run: [Tracertr] tracertr.exe

O4 - HKLM\..\Run: [System service75] C:\WINNT\etb\pokapoka75.exe

O4 - HKLM\..\RunServices: [Tracertr] tracertr.exe

O4 - HKCU\..\Run: [Tracertr] tracertr.exe


Paso 5- Sin reiniciar con el programa "KillBox" elimina estos archivos:

C:\WINNT\tracertr.exe <- este vas a tener que buscar la ruta exacta.
C:\WINNT\etb\pokapoka75.exe [/B]

Paso 6- Usar el Disk Cleaner para limpiar cookies y temporales.

Paso 7- Realiza un escaneo online con "Ewido Scanner Online"

Reinicia y nos contas los resultados.

Salu2

Hice todo, y aca esta mi Log:

Logfile of HijackThis v1.99.1
Scan saved at 02:12:19 p.m., on 09/11/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Archivos de programa\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\msdtc.exe
C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\WINNT\system32\svchost.exe
C:\Archivos de programa\AMD\Cool'n'Quiet\GemServ.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\Archivos comunes\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Archivos de programa\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [CaAvTray] "C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Tracertr] tracertr.exe
O4 - HKLM\..\Run: [System service75] C:\WINNT\etb\pokapoka75.exe
O4 - HKLM\..\RunServices: [Tracertr] tracertr.exe
O4 - HKCU\..\Run: [Tracertr] tracertr.exe
O4 - Startup: Ad-Watch SE Professional.lnk = C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Archivos de programa\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmesar.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmesar.dll
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB5217E5-B29D-472C-B29A-D6DFB347D7CD}: NameServer = 200.51.211.7,200.51.212.7
O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Archivos de programa\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

Vean que sigen apareciendo esos benditos bichos ... , lo que hacen es joderme (al tiempo) la velocidad de conexion de red entre maquinas, antes de hacer todo lo que me dijeron, andaba re mega lenta la red, ahora anda fluida, pero los bichos estan. El Ad-Watch detecto que 4 objetos modificaron los registros, exactamente son los 4 que crackee recien ... que hago ?-

Hola, por favor no cambies el tipo de letra del log ya que se me hace mas complicado poder verlo bien

El problema es que tenes el Ad-Watch y mientras que este este funcionado no se puede borrar nada.

Tenes que desconectarlo y en muchos casos hasta desinstalarlo por completo, realizar la limpieza como te puse arriba y después que este todo funcionado correctamente lo instalas nuevamente (aunque recomiendo SpyBot con su sistema de protección en lugar de Ad-Watch)

Hacelo y nos contas los resultados.

Salu2

Listo! solucionado el temita!, gracias ^^
Ahora deje mi log en otro tema nuevo,e spero lo vean, no vi estos bichos en el mio, pero me esta andando todo medio lentito... tengo cosas sospechosas en el log que me tiro el HijackThis, espero lo revisen! gracias!