Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

hola, que tal a todos. tengo un pc con WXP sp2. desde hace unos cuantos dias tengo un problemilla "publicitario". cuando estoy navegando por la web (siempre con firefox) de repente se minimiza la ventana en la que estoy navegando, y abre una página, normalmente con publicidad. En otras ocasiones lo que hace es desplegar una publicidad enorme en medio de la pantalla, que por lo menos se puede cerrar. La mayoria de las veces que se me minimiza el firefox, se redirecciona hacia la página de winfixe,que según he leido es un antiespias que a su vez te coloca espias en tu equipo para que compres su software. Estuve mirando aqui, en esta página como deshacerme de él. Pero después de todo, no lo he conseguido.
Los pasos que seguí son:

1. apagar restaurar el sistema.
2. Pasar el adware, el spyboot y el norman antivirus que tengo instalado (desconectado de internet para que no se volviesen a meter) Normalmente el adware detectaba siempre algo, pero el spyboot no.
3. a continuacion reinicio el sistema en modo a prueba de fallos.
4. paso el ewido, que me encuentra un montón de spywares y malwares. los elimino con dicho programa. Despues del ewido vuelvo a pasar el adware y el spyboot, pero no encuentran nada.
5. vuelvo a reiniciar el sistema, ya en modo normal. Entro a windows y vuelvo a pasar el ewido, encontrando otra vez unas 20 infecciones. Las elimino y vuelvo a pasar el adware y el spyboot.
6. Me desespero y viendo el foro paso el Hijackthis y os envio el log, a ver si esto tiene solución.

Logfile of HijackThis v1.99.1
Scan saved at 16:15:43, on 09/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe
C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\Norman\NVC\BIN\ZLH.EXE
C:\Archivos de programa\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\twain_32\Trust\Direct Webscan\WATCH.exe
C:\Archivos de programa\WinAce\WinAce.exe
C:\DOCUME~1\j\CONFIG~1\Temp\~AceTemp\HijackThis\Hi jackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [OdTray.exe] "C:\Archivos de programa\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Puerto Symantec Fax Starter Edition.lnk = C:\Archivos de programa\Microsoft Office\Office\3082\OLFSNT40.EXE
O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\Trust\Direct Webscan\WATCH.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B72A433-FD74-4B8F-9A55-436C251AD2CD}: NameServer = 10.1.1.102,10.1.1.103
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\o666lgjs16o6.dll (file missing)
O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\l4p20e7oeh.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\agAA\command.exe (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe
O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Archivos de programa\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

saludos para todos.

Hola jmbperez, te doy la bienvenida al Foro de InfoSpyware.

Efectivamente el Winfixer es un falso Antispyware que te instala el "malware vundo"

Para eliminarlo primero chequea en Agregar/Quitar Programas que ya no este ni Winfixer ni Winfixer 2005.

Luego descarga, actualiza y ejecuta el programa Spy Sweeper 4.5

Usa el Disk Cleaner para limpiar cookies y temporales y RegSeeker para limpiar el registro de Win.

Reinicia y nos contas los resultados.

Salu2

pues he pasado el spy sweeper, y lo primero que me surje es la duda. por que tengo como 3 o 4 antiespias instalados: adware, spyboot, ewido, spywareblaster y ahora el spy sweeper y cada uno me da un resultado distinto, detectando espias o no, y la verdad, es un poco lio. tambien me pregunto si no se producirán incompatibilidades entre ellos, al igual que ocurre con algunos antivirus. en cuanto a los resultados, así así.

bien, he pasado el spy sweeper y he eliminado un monton de "bichitos" despues he limpiado con el diskcleener y con el regseeker. he reiniciado y al hacerlo y conectarme a internet, desaparece el problema de la publicidad y de los minimizados de ventanas. hasta aqui todo bien. pero despues abro el spy sweeper y me dice que ha bloqueado un monton de veces el acceso a www.ad-w-a-r-e.com, que debe ser una pagina chunguisima de espias. pero además me dice que tiene que eliminar un adware llamado icannews y otro llamado apropos.

osea, en definitiva mi pc sigue siendo un coladero de espias, y los otros programas que tengo, como el spywareblaster, que supuestamente tienen que proteger el equipo para que no entren, no hacen nada. de momento bien, lo pasaré regularmente (el spy sweeper) quedando el equipo limpio, pero me preocupa el dia que se acabe la licencia....

saludos y seguiré informando.

Hola jmbperez, el mundo de los virus y spywares ya hace tiempo que dejo de ser un pasatiempo de algunos o ganas de joder simplemente para convertirse en un negocio que mueve millones de dólares y por tal motivo están saliendo no solo nuevos parásitos diariamente sino que también nuevas variantes de los mismos a lo cual hacen mas difícil su eliminación por cualquier herramienta automática hasta que este no actualice a determinado parásito.

Por eso en este caso el "Spy Sweeper" es el único Antispyware en el momento que puede detectar y eliminar correctamente el malware Vundo correctamente y los otros aun todavía no.

La incompatibilidad únicamente la podes sufrir en los Antispyware si los pones todos a protegerte en memoria por lo que para eso solo tenes que dejar uno solo y te recomiendo SpyBot S&D y los otros los podes dejar igual en tu sistema solo para escánear regularmente.

Sobre el SpywareBlaster te digo que este programa es únicamente para protegerte de sitios que ya son conocidos por descargar spyware mediante códigos ActiveX maliciosos, pero no es para protegerte de todo tipo de Spyware, para esto solo te salva navegar con un navegador mas seguro como Firefox y usando el sentido común en base a los sitios que frecuentas, los programas que descargas y los emails que te envían.

Bueno cuando este funcionado todo bien nos confirmas para dar el tema por solucionado y antes en modo a prueba de fallos proba pasarle Spy Sweeper nuevamente a ver si te termina de sacar todo.

Salu2

bueno, pues finalmente, despues de pasar el spy sweeper en modo normal y a prueba de fallos, el "troyanito de los cojones" ha desaparecido de mi vista. espero no tener que volver por esta página (para que me solucioneis problemas claro je je je) para el resto de cosillas si que volveré de visita, que es una página mu apañá. de las mejores que he visto en tema spyware (y no es peloteo)

bueno, pues lo dicho, gracias y saludos.

jose maría breña