Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola
Seguí todos los pasos para la eliminación, varias veces y no hay forma, sobretodo en el Firefox son muy insistentes los pop-ups.
Pueden anzalizar mi log?
muchas gracias por anticipado.

Logfile of HijackThis v1.99.1
Scan saved at 20:14:19, on 25/11/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Archivos de programa\apache\Apache2\bin\Apache.exe
C:\WINDOWS\system32\crypserv.exe
d:\ARCHIV~1\PHPHOM~1\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Archivos de programa\apache\Apache2\bin\Apache.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Apoint2K\Apoint.exe
C:\Archivos de programa\Apoint2K\Apntex.exe
C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe
C:\Archivos de programa\TOSHIBA\Power Management\CePMTray.exe
C:\ARCHIV~1\EzButton\CPATR10.EXE
C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe
C:\Archivos de programa\Lexmark X74-X75\lxbbbmgr.exe
C:\Archivos de programa\Lexmark X74-X75\lxbbbmon.exe
C:\Archivos de programa\Winamp\Winampa.exe
C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE
D:\Archivos de programa\PHP Home Edition 2\Apache2\bin\ApacheMonitor.exe
D:\Archivos de programa\BenQ\QMusic2\QMAgent.exe
C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe
C:\Archivos de programa\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe
C:\Archivos de programa\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe
C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\3Com\Launcher.exe
C:\Archivos de programa\Archivos comunes\3Com\LanSupportService.exe
C:\Archivos de programa\Archivos comunes\3Com\AllWirelessLansService.exe
C:\ARCHIV~1\3Com\WLANMA~1\Activate.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\ARCHIV~1\MOZILL~1\plugins\GetFlash.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Archivos de programa\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CPATR10] C:\ARCHIV~1\EzButton\CPATR10.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Archivos de programa\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 1
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [ApacheMonitor.exe] d:\Archivos de programa\PHP Home Edition 2\Apache2\bin\ApacheMonitor.exe
O4 - HKLM\..\Run: [QMusic] "d:\Archivos de programa\BenQ\QMusic2\QMAgent.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [CaAvTray] "C:\Archivos de programa\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "C:\Archivos de programa\CA\eTrust Internet Security Suite\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O4 - Global Startup: 3Com Launcher.lnk = C:\Archivos de programa\3Com\Launcher.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\archivos de programa\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe (file missing)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5F05A225-0F66-43DE-89E4-6FFD589C4F01} (OC web Installer) - http://www.aebn.net/ws/DownloadCoach/dc5/files/objectCubeInstall.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CC727C0-2C7D-47ED-9017-439EA3F5ED37}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0FB5AF2-8BC8-4F4B-A553-3153CABAF8DE}: NameServer = 80.58.0.33,80.58.32.97
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\e4202efmgh2a2.dll
O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINDOWS\system32\cqfqfbbe.dll (file missing)
O21 - SSODL: SysTray.Exsn - {2368D1FC-2F5C-4f1b-B124-E67214FC78E2} - C:\WINDOWS\system32\lfdbpcen.dll (file missing)
O23 - Service: 3Com Wireless LAN Support (AllWirelessLansService) - 3Com Corp. - C:\Archivos de programa\Archivos comunes\3Com\AllWirelessLansService.exe
O23 - Service: Apache2 - Unknown owner - D:\Archivos de programa\apache\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: 3Com LAN Support (LanSupportService) - 3Com Corporation - C:\Archivos de programa\Archivos comunes\3Com\LanSupportService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySql - Unknown owner - d:/ARCHIV~1/PHPHOM~1/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hola, te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Apaga el "Restaurar Sistema"

Paso 2- Descarga el programa DelPSGuard.zip, pero aun no lo ejecutes.

Paso 3- Descarga y actualiza el programa Spy Sweeper 4.5, pero aun no lo ejecutes.

Paso 4-Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe

O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\e4202efmgh2a2.dll
O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINDOWS\system32\cqfqfbbe.dll (file missing)
O21 - SSODL: SysTray.Exsn - {2368D1FC-2F5C-4f1b-B124-E67214FC78E2} - C:\WINDOWS\system32\lfdbpcen.dll (file missing)


Paso 5- Sin reiniciar con el programa "KillBox" elimina estos archivos:

c:\secure32.html
c:\windows\system32\mdms.exe
C:\WINDOWS\system32\e4202efmgh2a2.dll
C:\WINDOWS\system32\cqfqfbbe.dll
C:\WINDOWS\system32\lfdbpcen.dll

Paso 6- Reinicie eh inicie en "Modo a prueba de fallos" (modo seguro)

Paso 7- Con todos los programas cerrados ejecutar el archivo DelPSGuard.exe, instálalo y este va a abrir una ventana verde con la informacion del programa donde tienes que apretar cualquier tecla para que este continué y elimine el parásito.

Paso 8- Ejecuta el programa "Spy Sweeper 4.5"

Paso 9- Usar el Disk Cleaner para limpiar cookies y temporales.

Paso 10- Reinicia y hacele un escaneo online con "Panda Online Antivirus."

Reinicia y nos contas los resultados.

Salu2

Parece que, por fin, han desaparecido los spywares...ya no saltan ventanas emergentes en ningún navegador...y el sistema está más estable, se reinicia sin problemas, etc
De todas formas, el log del Antivirus on-line de Panda me ha dejado alguna duda:

Incidencia Estado Elemento

Virus:Trj/Qhost.Y Desinfectado C:\WINDOWS\system32\drivers\etc\hosts
Virus:Trj/Downloader.OP Desinfectado C:\WINDOWS\system32\A.dll
Virus:Trj/Downloader.OP Desinfectado C:\WINDOWS\system32\W.dll
Adware:Adware/Look2Me No desinfectado C:\WINDOWS\system32\h0j4la1q1d.dll
Posible Virus. No desinfectado C:\WINDOWS\332.tmp
Posible Virus. No desinfectado C:\Documents and Settings\xavi carreras\Configuración local\Temp\332.tmp
Posible Virus. No desinfectado C:\Documents and Settings\xavi carreras\Configuración local\Archivos temporales de Internet\Content.IE5\QP47AXM1\30[1].exe

Ha habido 4 registros que no ha desinfectado...(de los cuales 3 eran posibilidades de virus) espero que sólo sean restos...seguiré pasando los antivirus, antispywares y actualizándolos

Muchas gracias de nuevo ... es, sin duda, la mejor página de esta temática de internet!

Hola, bueno con KillBox elimina estos archivos que encontro Panda:

C:\WINDOWS\system32\h0j4la1q1d.dll
C:\WINDOWS\332.tmp

Y borra manualmente los temporales de internet.

Hacele un escaneo online con "Ewido Scanner Online"

Reinicia y nos confirmas que todo este bien para dar el tema por solucionado.

Salu2

He realizado lo que me comentais, y con Ewido saqué lo siguiente:

__________________________________________________
ewido security suite online scanner
http://www.ewido.net
__________________________________________________


Name: Spyware.Look2Me
Path: C:\!Submit\h0j4la1q1d.dll
Risk: High

lo eliminé y reinicié el equipo.

Pos si acaso, lo volví a pasar una vez en el equipo a modo normal y el resultado es el que sigue:


_________________________________________________
ewido security suite online scanner
http://www.ewido.net
__________________________________________________


Name: Spyware.InternetOptimizer
Path: HKU\S-1-5-21-1100600431-1893334302-554837032-1007\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{00000010-6F7D-442C-93E3-4A4827C2E4C8}
Risk: High

Name: Spyware.SideFind
Path: HKU\S-1-5-21-1100600431-1893334302-554837032-1007\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807}
Risk: High

Name: Spyware.YourSiteBar
Path: HKU\S-1-5-21-1100600431-1893334302-554837032-1007\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{86227D9C-0EFE-4F8A-AA55-30386A3F5686}
Risk: High

Name: Spyware.MoneyTree
Path: HKU\S-1-5-21-1100600431-1893334302-554837032-1007\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{8F4E5661-F99E-4B3E-8D85-0EA71C0748E4}
Risk: High

Name: Spyware.ISTBar
Path: HKU\S-1-5-21-1100600431-1893334302-554837032-1007\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{A3FDD654-A057-4971-9844-4ED8E67DBBB8}
Risk: High

Name: Spyware.BargainBuddy
Path: HKU\S-1-5-21-1100600431-1893334302-554837032-1007\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}
Risk: High

Name: Spyware.Cookie.Atdmt
Path: :mozilla.6:C:\Documents and Settings\xavi carreras\Datos de programa\Mozilla\Firefox\Profiles\oeqwoh4p.default \cookies.txt
Risk: Medium

Los he eliminado también

Salu2

Bien si no hay mas problemas damos el tema por solucionado